Quik: Знаете ли вы...

Евгений Александрович, ссылку на что? На знание? НУ вы даете… но это действительно давноооооооо известная особенность логина. Удивляет что столько людей про нее не знали

Евгений Александрович, а еще есть привод автологин для квика

Евгений Александрович, а с фига ли ключи, если это будет мой комп в каком офисе или ноут сопрут скопировав с винта квик и ключики

Дмитрий Интрадей, короче после такой темы надо подлиннее пароль придумать, хотя уверен и там дырка есть. сцуки

Евгений Александрович, ага и желательно чтобы на цепи был и в бункере, в доспехах сидеть надо или достаточно забрала?

Дмитрий Интрадей, а что в этом такого то? Никак не пойму.

Dimanite, если вы задаете такой вопрос — то ничего. Я согласен с вами — ядерная кнопка должна быть максимально доступной, ведь ее же надо быстро нажать. Давайте ее разместим дополнительно на унитазе, ведь вдруг в сартире, а надо кнопку ядерную нажать! Удобно же!!!

Дмитрий Интрадей, если откроете ключик блокнотом, там ваш логин и так написан

NattyD, глянул… нашел. Теперь однозначно пароль должен быть не меньше 20 символов

Дмитрий Интрадей, Не бойся, с вероятностью в 90% там поле фамилия используется только для выбора конкретного ключа из списка возможных. ПОтому толку с него 0. А вот пароль уже будет использоваться для расшифровки самого ключа — тут действительной «qwerty» лучше не ставить. На счет админского ключа для квика — нет, этого не будет 100%. Ключи прописывает каждый брокер у себя и они однозначно идентифицируют клиента. Так что зайти под другим, намертво вшитым ключем, врядли вообще возможно.

Gugenot, аналогично Док!

Доброго Дня Вам!

mit, сделай, кто тебе мешает?

mit, это можно сделать самостоятельно — но есть нюанс: квик постоянно обращается к ключам и носитель быстро убивается (так как у флэшек ограниченное количество циклов запись/чтение, хоть оно и большое). Но квик умудряется убить любую флэшку за пару месяцев, если вы подключаетесь к торгам каждый день))))

KrovoSoSS, у меня два года ключи на флехе и ничего не убило

Напалков Андрей, тогда странно… у меня новая флэшка с ключом убилась за два месяца и я грешил именно на Квик, так как прочитал потом в инструкции от брокера, что очень не рекомендуется размещать ключи на флэшке.

KrovoSoSS, у флехи ограниченное кол-во циклов ЗАПИСИ, не чтения. Так что убить ее если и сможет — то только виндовс, изменяя атрибуты доступа к файлам. Да и то это будет очень врядли.

waldhaber, ну как — бабло перевести на свои счета… вы что? вчера что ли торговать начали?

waldhaber, будут заходить со своего счета (разумеется подставного, оформленного на бомжа), покупать жуткий неликвид по любой цене и тут же выставлять его на продажу втридорога… а потом заходят с чужого счета (ворованного) и выкупают этот неликвид, таким образом перекачивая деньги.

KrovoSoSS, вот. Друзья, наш товарищь описал 100%-рабочую ТС… наконец-то на фондовом станет возможно зашибать бабло гарантированно.))
А по серьезному… такие преценденты были или это только теория?

waldhaber, были но совсем так.

waldhaber, на сколько я понял такие случаи были. Я когда учился на курсах у Резвякова он нам рассказывал про эту особенность квика с логином и про какой-то громкий случай с перекачкой денег, который был много лет назад (наверно лет 10 назад и кажись у Финама). Короче можно пошарить архивы в интернете. Правда там вроде не из-за логинов, а из-за украденных паролей и ключей с помощью вируса.

Во, нашел:

ИСТОРИИ ТРЕЙДЕРОВ: ХАКЕРЫ ВЗЛОМАЛИ QUIK

uptrade.ru/raznoe/istorii-trejderov-xakery-vzlomali-quik.htm

А, помню еще Резвяков рассказывал что так перекачивать деньги в принципе могут управляющие крупными фондами: наоткрывать подставных счетов и выставлять там неликвид по завышеным ценам, а потом за счет средств клиентов покупать у самого себя. Когда фонд большой и операций много, то никто и не заметит, а если и заметит, то свои действия всегда можно объяснить фундаментальным анализом, инсайдом и т.д. и т.п.

Павел 48, согласен — удобно же, что народ волнуется то

Григорий, я не зашел без квика. так-что, всё нормально!

… в смысле подпись ЭЦП.

yurikon, прислать пароль по смс, то же что написать его на заборе… если вы не в курсе, то все смски оседают на сервере оператора и фиг знает кто имеет доступ и как распоряжается логами

Дмитрий Интрадей, вы делаете из мухи слона. По SMS присылаются _одноразовые_ пароли. Никому никакого толку от них не будет, даже если он их и получит. Почитайте про one time pad в википедии.

Так же не является уязвимостью и возможность ввода неполного логина. Логин не является секретной информацией. Таковой является пароль и секретный ключ.

Евгений Александрович,
путь в QRYPTO.CFG в любом случае будеть указан. Иначе QUIK не сумеет прочитать ключи.
Причем я сегодня еще раз подумал на эту тему — вообще-то даже кратковременное подключение флешки не особо и спасет, те же вирусы записываются на флешку сразу при подключении мнгновенно.

Наверное единственный вариант, каким можно запутать алгоритм вируса — это прописать в QRYPTO.CFG относительный путь, например

pubring=key\pubring.txk
secring=key\secring.txk

при этом запускать QUIK ярлыком, а в ярлыке указать рабочим каталог какой-либо каталог на флешке. Например, пусть флешка у нас подключается диском F:, тогда сложить файлы ключей на флешку в папку f:\qqq\key, а в качестве рабочего каталога для запуска QUIK указать f:\qqq
В этом случае при запуске QUIK будет считывать ключи из нужного каталога добавляя к пути для запуска папку key\ и успешно находить ключи, в то время как вирус без полного сканирования флешки замучается соображать по какому пути лежат ключи, потому как информация об этом по сути лежит в разных не связанных сущностях.

Что касается «кратковременного» подключения флешки — я точно помню, что на форуме был ответ по этому поводу от Алексея Пархомчика, однако касательно восстановления связи после обрыва соединения там речи не было. Вероятно в этот момент ключи снова нужны. И если мы воспользовались методикой относительных путей — то может возникнуть проблема например в том случае, когда во время работы QUIK мы поменяли текущую папку, например, открыв файл QPile-портфеля из другой папки. Но это все надо проверять, мне лень, признаться.

В общем не теряйте по возможности связь с сервером, тогда флешку с ключами действительно можно будет подключать лишь на момент установления соединения. Хранить ключи после чтения в памяти QUIK — это тоже неразумно, согласитесь, их ведь запросто можно оттуда будет умыкнуть вирусу.