<HELP> for explanation

Блог им. ognevoy

Quik: Знаете ли вы...

Знаете ли вы, что для входа в Quik  в поле «логин» достаточно набрать только первую букву:
 Quik: Знаете ли вы...
  • Ключевые слова:
  • quik
 

))
avatar

La_resistance

афуеть не встать)))
баян бородатый…
avatar

UncleFedor

UncleFedor, кинь ссылку
Евгений Александрович, ссылку на что? На знание? НУ вы даете… но это действительно давноооооооо известная особенность логина. Удивляет что столько людей про нее не знали
Dimanite, она что, в хелпе описана? откуда частному «трейдеру из деревни» о ней знать?
Евгений Александрович, а еще есть привод автологин для квика
пи**ц!!! я в шоке!!! они что окуели?! реально зашел
Дмитрий Интрадей, а ключи на что?
Евгений Александрович, а с фига ли ключи, если это будет мой комп в каком офисе или ноут сопрут скопировав с винта квик и ключики
Дмитрий Интрадей, короче после такой темы надо подлиннее пароль придумать, хотя уверен и там дырка есть. сцуки
Дмитрий Интрадей, вообще для серьезных торгов надо использовать отдельный комп. без одноклассников и т.д.
Евгений Александрович, ага и желательно чтобы на цепи был и в бункере, в доспехах сидеть надо или достаточно забрала?
Дмитрий Интрадей, а что в этом такого то? Никак не пойму.
Dimanite, если вы задаете такой вопрос — то ничего. Я согласен с вами — ядерная кнопка должна быть максимально доступной, ведь ее же надо быстро нажать. Давайте ее разместим дополнительно на унитазе, ведь вдруг в сартире, а надо кнопку ядерную нажать! Удобно же!!!
Дмитрий Интрадей, если откроете ключик блокнотом, там ваш логин и так написан
avatar

Natty

NattyD, глянул… нашел. Теперь однозначно пароль должен быть не меньше 20 символов
я всегда так захожу с самого начала))))
avatar

Maksa

Maksa, я тоже. но решил, что начинающие на смартлабе должны знать нюансы :-)
не удивлюсь если есть еще пароль вроде adminquik который подойдет любому… Резкий шорт репутации квика и то что этим не афишируют, но эта дырища есть
Дмитрий Интрадей, Не бойся, с вероятностью в 90% там поле фамилия используется только для выбора конкретного ключа из списка возможных. ПОтому толку с него 0. А вот пароль уже будет использоваться для расшифровки самого ключа — тут действительной «qwerty» лучше не ставить. На счет админского ключа для квика — нет, этого не будет 100%. Ключи прописывает каждый брокер у себя и они однозначно идентифицируют клиента. Так что зайти под другим, намертво вшитым ключем, врядли вообще возможно.
опа точняк зашёл
Ну да… есть такое дело…
меня об этом много-много лет назад
проинформировали в Трояке,
когда я там свой счёт открывал…
:)
avatar

Gugenot

Gugenot, аналогично Док!

Доброго Дня Вам!
Почему они до сих пор не сделали ключи на отдельном носителе?
avatar

mit

mit, сделай, кто тебе мешает?
avatar

Daks

mit, это можно сделать самостоятельно — но есть нюанс: квик постоянно обращается к ключам и носитель быстро убивается (так как у флэшек ограниченное количество циклов запись/чтение, хоть оно и большое). Но квик умудряется убить любую флэшку за пару месяцев, если вы подключаетесь к торгам каждый день))))
KrovoSoSS, у меня два года ключи на флехе и ничего не убило
Напалков Андрей, тогда странно… у меня новая флэшка с ключом убилась за два месяца и я грешил именно на Квик, так как прочитал потом в инструкции от брокера, что очень не рекомендуется размещать ключи на флэшке.
KrovoSoSS, у флехи ограниченное кол-во циклов ЗАПИСИ, не чтения. Так что убить ее если и сможет — то только виндовс, изменяя атрибуты доступа к файлам. Да и то это будет очень врядли.
Хахахахахах :)
Коллеги, мне кажется — это номинация на пост года на фарт-лабике!!!
avatar

siva

Любую букву которая есть в логине, не обязательно первую.
avatar

Daks

Daks, о даже любую! я не знал
какой т оу тебя квик допотопный
avatar

Richmond

rokaware, да я знаю. потому что в новых есть глюки, которые мне мешают
+4 Наблюдательно… Занимательно ))))
avatar

Borrris

Есть такое дело, видимо они решили, что это не так важно
avatar

Ilya-S

А смысл кому-то воровать доступ к Квику?
avatar

waldhaber

waldhaber, ну как — бабло перевести на свои счета… вы что? вчера что ли торговать начали?
waldhaber, будут заходить со своего счета (разумеется подставного, оформленного на бомжа), покупать жуткий неликвид по любой цене и тут же выставлять его на продажу втридорога… а потом заходят с чужого счета (ворованного) и выкупают этот неликвид, таким образом перекачивая деньги.
KrovoSoSS, вот. Друзья, наш товарищь описал 100%-рабочую ТС… наконец-то на фондовом станет возможно зашибать бабло гарантированно.))
А по серьезному… такие преценденты были или это только теория?
waldhaber, были но совсем так.
waldhaber, на сколько я понял такие случаи были. Я когда учился на курсах у Резвякова он нам рассказывал про эту особенность квика с логином и про какой-то громкий случай с перекачкой денег, который был много лет назад (наверно лет 10 назад и кажись у Финама). Короче можно пошарить архивы в интернете. Правда там вроде не из-за логинов, а из-за украденных паролей и ключей с помощью вируса.
Во, нашел:

ИСТОРИИ ТРЕЙДЕРОВ: ХАКЕРЫ ВЗЛОМАЛИ QUIK

uptrade.ru/raznoe/istorii-trejderov-xakery-vzlomali-quik.htm
А, помню еще Резвяков рассказывал что так перекачивать деньги в принципе могут управляющие крупными фондами: наоткрывать подставных счетов и выставлять там неликвид по завышеным ценам, а потом за счет средств клиентов покупать у самого себя. Когда фонд большой и операций много, то никто и не заметит, а если и заметит, то свои действия всегда можно объяснить фундаментальным анализом, инсайдом и т.д. и т.п.
Я вообще это за + считал.
avatar

Павел 48

Павел 48, согласен — удобно же, что народ волнуется то
я не зашел без пароля
Григорий, я не зашел без квика. так-что, всё нормально!
Сенсация, ептыть))
Знаем )
Не знал. Сработало, но логин у меня простой так что не напрягаюсь когда его пишу.
При открытии счета и генерации ключей об этом предупреждает каждый уважающий себя брокер. Для меня новость, что есть такие, кто по незнанию годами вводят полный логин.
avatar

ProfFit

У Кита двойной пароль на доступ к ключам, а окна логин-пароль вообще нет.
… в смысле подпись ЭЦП.
Уголок, Кэпа?)
avatar

DarkElf96

более того, достаточно пробела вместо логина. Или любой буквы из логина :)
avatar

Johnny_22

Сейчас есть двух факторная авторизация — второй пароль по смс присылают. Уровень безопасности выше.
avatar

yurikon

yurikon, прислать пароль по смс, то же что написать его на заборе… если вы не в курсе, то все смски оседают на сервере оператора и фиг знает кто имеет доступ и как распоряжается логами
Дмитрий Интрадей, вы делаете из мухи слона. По SMS присылаются _одноразовые_ пароли. Никому никакого толку от них не будет, даже если он их и получит. Почитайте про one time pad в википедии.

Так же не является уязвимостью и возможность ввода неполного логина. Логин не является секретной информацией. Таковой является пароль и секретный ключ.
Дмитрий Интрадей, пару человек имеют доступ к SMS-центру. а смс-центр один на 16 регионов. так что им пофиг на твою смс-ку
мои 5 копеек. знал об этом от техподдержки брокера, ибо в втб 24 каждые три года надо подписывать соглашение по квику. и без ввода пароля, вход не удаётся.
avatar

KSN

Дмитрий,
СМС одноразовые и действует в течение определенного времени. Многие интернет-банки используют смс-подтверждение. Имхо, вы неверно оцениваете риски взлома доступа в данном случае.
avatar

yurikon

В поле логина не обязательно даже первую букву ставить, достаточно просто нажать пробел, ввести пароль и всё зайдет.
avatar

Артём

Да, безусловно…

так и вхожу
спасибо)) полезная инфа!)
Агонь! )
avatar

Jet Scalp

Логин ни на что не влияет, можете не волноваться. Пароль должен быть сложным так как с помощью него зашифрован закрытый ключ (secring). Ваш публичный ключ есть у вас и у брокера. Брокер используя ваш публичный ключ (pubring) может расшифровать поток зашифрованный вашим закрытым ключом. Так что для брокера тот кто использует ваш закрытый ключ — тот и есть вы. Quik нужно настроить чтобы он искал ключи с защищенной флешки. Плюс выставить в квике опцию восстанавливать соелинение после обрава связи автоматом. Вставляете флешку, набираете логин (любая подстрока из набора символов в логине, хоть один символ), набираете забубенный пароль. После установки соединения флешку убираем. Все, до тех пор пока квик не закроете квик будет сам держать соединение.
avatar

oki7

oki7, я проверил. залогинился в квике. вытащил флешку. поток отключил кабель Ethernet. и квик больше не логиниться. этот совет не катит. версия квика 5.2
oki7, а как настроить квик, чтобы он искал ключи на флешке? единственное, с чем я согласен, что надо переместить файл QRYPTO.CFG в другую папку и переименовать его.
но как изменить путь в квик к файлу QRYPTO.CFG?
с точки зрения безопасности рекомендую кит финанс. у них используется ЭЦП. доступ к которому нужен только во время запуска программы квик. я проверил-вытщил флешку и квик работает.
с точки зрения безопасности рекомендую кит финанс. у них используется ЭЦП («ключевой контейнер»). доступ к которому нужен только во время запуска программы квик. я проверил-вытщил флешку и квик работает.
Забыл, самое дибильное что вы можете сделать с точки зрения кражи ключей — это держать ключи в каталоге с квиком или там где их местоположение описано в конфиг файле.
avatar

oki7

нашел QRYPTO.CFG. но если переместить файлы из папки, которая указана в QRYPTO.CFG, то квик не заходит. последний совет не катит.
iQuik.ru, спасибо! но как перемещать я знаю. нюанс в том, что путь к ним все равно указан в файле QRYPTO.CFG. троянец по-любому их выкрадет.
Евгений Александрович,
путь в QRYPTO.CFG в любом случае будеть указан. Иначе QUIK не сумеет прочитать ключи.
Причем я сегодня еще раз подумал на эту тему — вообще-то даже кратковременное подключение флешки не особо и спасет, те же вирусы записываются на флешку сразу при подключении мнгновенно.

Наверное единственный вариант, каким можно запутать алгоритм вируса — это прописать в QRYPTO.CFG относительный путь, например

pubring=key\pubring.txk
secring=key\secring.txk

при этом запускать QUIK ярлыком, а в ярлыке указать рабочим каталог какой-либо каталог на флешке. Например, пусть флешка у нас подключается диском F:, тогда сложить файлы ключей на флешку в папку f:\qqq\key, а в качестве рабочего каталога для запуска QUIK указать f:\qqq
В этом случае при запуске QUIK будет считывать ключи из нужного каталога добавляя к пути для запуска папку key\ и успешно находить ключи, в то время как вирус без полного сканирования флешки замучается соображать по какому пути лежат ключи, потому как информация об этом по сути лежит в разных не связанных сущностях.

Что касается «кратковременного» подключения флешки — я точно помню, что на форуме был ответ по этому поводу от Алексея Пархомчика, однако касательно восстановления связи после обрыва соединения там речи не было. Вероятно в этот момент ключи снова нужны. И если мы воспользовались методикой относительных путей — то может возникнуть проблема например в том случае, когда во время работы QUIK мы поменяли текущую папку, например, открыв файл QPile-портфеля из другой папки. Но это все надо проверять, мне лень, признаться.

В общем не теряйте по возможности связь с сервером, тогда флешку с ключами действительно можно будет подключать лишь на момент установления соединения. Хранить ключи после чтения в памяти QUIK — это тоже неразумно, согласитесь, их ведь запросто можно оттуда будет умыкнуть вирусу.
avatar

swerg


Только зарегистрированные и авторизованные пользователи могут оставлять комментарии.

Залогиниться

Зарегистрироваться
....все тэги
Регистрация
UPDONW