<HELP> for explanation

Блог им. ognevoy

Quik: Знаете ли вы...

Знаете ли вы, что для входа в Quik  в поле «логин» достаточно набрать только первую букву:
 Quik: Знаете ли вы...
  • Ключевые слова:
  • quik
 

))
avatar

La_resistance

афуеть не встать)))
avatar

Игорь "skaut"

баян бородатый…
avatar

UncleFedor

UncleFedor, кинь ссылку
avatar

Мурен(а)

Евгений Александрович, ссылку на что? На знание? НУ вы даете… но это действительно давноооооооо известная особенность логина. Удивляет что столько людей про нее не знали
Dimanite, она что, в хелпе описана? откуда частному «трейдеру из деревни» о ней знать?
avatar

Мурен(а)

Евгений Александрович, а еще есть привод автологин для квика
пи**ц!!! я в шоке!!! они что окуели?! реально зашел
Дмитрий Интрадей, а ключи на что?
avatar

Мурен(а)

Евгений Александрович, а с фига ли ключи, если это будет мой комп в каком офисе или ноут сопрут скопировав с винта квик и ключики
Дмитрий Интрадей, короче после такой темы надо подлиннее пароль придумать, хотя уверен и там дырка есть. сцуки
Дмитрий Интрадей, вообще для серьезных торгов надо использовать отдельный комп. без одноклассников и т.д.
avatar

Мурен(а)

Евгений Александрович, ага и желательно чтобы на цепи был и в бункере, в доспехах сидеть надо или достаточно забрала?
Дмитрий Интрадей, а что в этом такого то? Никак не пойму.
Dimanite, если вы задаете такой вопрос — то ничего. Я согласен с вами — ядерная кнопка должна быть максимально доступной, ведь ее же надо быстро нажать. Давайте ее разместим дополнительно на унитазе, ведь вдруг в сартире, а надо кнопку ядерную нажать! Удобно же!!!
Дмитрий Интрадей, если откроете ключик блокнотом, там ваш логин и так написан
avatar

Natty

NattyD, глянул… нашел. Теперь однозначно пароль должен быть не меньше 20 символов
я всегда так захожу с самого начала))))
avatar

Maksa

Maksa, я тоже. но решил, что начинающие на смартлабе должны знать нюансы :-)
avatar

Мурен(а)

не удивлюсь если есть еще пароль вроде adminquik который подойдет любому… Резкий шорт репутации квика и то что этим не афишируют, но эта дырища есть
Дмитрий Интрадей, Не бойся, с вероятностью в 90% там поле фамилия используется только для выбора конкретного ключа из списка возможных. ПОтому толку с него 0. А вот пароль уже будет использоваться для расшифровки самого ключа — тут действительной «qwerty» лучше не ставить. На счет админского ключа для квика — нет, этого не будет 100%. Ключи прописывает каждый брокер у себя и они однозначно идентифицируют клиента. Так что зайти под другим, намертво вшитым ключем, врядли вообще возможно.
avatar

MikhailZ

опа точняк зашёл
Ну да… есть такое дело…
меня об этом много-много лет назад
проинформировали в Трояке,
когда я там свой счёт открывал…
:)
avatar

Gugenot

Gugenot, аналогично Док!

Доброго Дня Вам!
avatar

Brahman

Почему они до сих пор не сделали ключи на отдельном носителе?
avatar

mit

mit, сделай, кто тебе мешает?
avatar

Daks

mit, это можно сделать самостоятельно — но есть нюанс: квик постоянно обращается к ключам и носитель быстро убивается (так как у флэшек ограниченное количество циклов запись/чтение, хоть оно и большое). Но квик умудряется убить любую флэшку за пару месяцев, если вы подключаетесь к торгам каждый день))))
avatar

KrovoSoSS

KrovoSoSS, у меня два года ключи на флехе и ничего не убило
Напалков Андрей, тогда странно… у меня новая флэшка с ключом убилась за два месяца и я грешил именно на Квик, так как прочитал потом в инструкции от брокера, что очень не рекомендуется размещать ключи на флэшке.
avatar

KrovoSoSS

KrovoSoSS, у флехи ограниченное кол-во циклов ЗАПИСИ, не чтения. Так что убить ее если и сможет — то только виндовс, изменяя атрибуты доступа к файлам. Да и то это будет очень врядли.
avatar

MikhailZ

Хахахахахах :)
Коллеги, мне кажется — это номинация на пост года на фарт-лабике!!!
avatar

siva

Любую букву которая есть в логине, не обязательно первую.
avatar

Daks

Daks, о даже любую! я не знал
avatar

Мурен(а)

какой т оу тебя квик допотопный
avatar

Richmond

rokaware, да я знаю. потому что в новых есть глюки, которые мне мешают
avatar

Мурен(а)

+4 Наблюдательно… Занимательно ))))
avatar

Borrris

Есть такое дело, видимо они решили, что это не так важно
avatar

Ilya-S

А смысл кому-то воровать доступ к Квику?
avatar

waldhaber

waldhaber, ну как — бабло перевести на свои счета… вы что? вчера что ли торговать начали?
waldhaber, будут заходить со своего счета (разумеется подставного, оформленного на бомжа), покупать жуткий неликвид по любой цене и тут же выставлять его на продажу втридорога… а потом заходят с чужого счета (ворованного) и выкупают этот неликвид, таким образом перекачивая деньги.
avatar

KrovoSoSS

KrovoSoSS, вот. Друзья, наш товарищь описал 100%-рабочую ТС… наконец-то на фондовом станет возможно зашибать бабло гарантированно.))
А по серьезному… такие преценденты были или это только теория?
avatar

waldhaber

waldhaber, были но совсем так.
waldhaber, на сколько я понял такие случаи были. Я когда учился на курсах у Резвякова он нам рассказывал про эту особенность квика с логином и про какой-то громкий случай с перекачкой денег, который был много лет назад (наверно лет 10 назад и кажись у Финама). Короче можно пошарить архивы в интернете. Правда там вроде не из-за логинов, а из-за украденных паролей и ключей с помощью вируса.
avatar

KrovoSoSS

Во, нашел:

ИСТОРИИ ТРЕЙДЕРОВ: ХАКЕРЫ ВЗЛОМАЛИ QUIK

uptrade.ru/raznoe/istorii-trejderov-xakery-vzlomali-quik.htm
avatar

KrovoSoSS

А, помню еще Резвяков рассказывал что так перекачивать деньги в принципе могут управляющие крупными фондами: наоткрывать подставных счетов и выставлять там неликвид по завышеным ценам, а потом за счет средств клиентов покупать у самого себя. Когда фонд большой и операций много, то никто и не заметит, а если и заметит, то свои действия всегда можно объяснить фундаментальным анализом, инсайдом и т.д. и т.п.
avatar

KrovoSoSS

Я вообще это за + считал.
avatar

Павел 48

Павел 48, согласен — удобно же, что народ волнуется то
я не зашел без пароля
avatar

Григорий

Григорий, я не зашел без квика. так-что, всё нормально!
Сенсация, ептыть))
Знаем )
Не знал. Сработало, но логин у меня простой так что не напрягаюсь когда его пишу.
При открытии счета и генерации ключей об этом предупреждает каждый уважающий себя брокер. Для меня новость, что есть такие, кто по незнанию годами вводят полный логин.
avatar

ProfFit

У Кита двойной пароль на доступ к ключам, а окна логин-пароль вообще нет.
… в смысле подпись ЭЦП.
Уголок, Кэпа?)
avatar

DarkElf96

более того, достаточно пробела вместо логина. Или любой буквы из логина :)
avatar

Johnny_22

Сейчас есть двух факторная авторизация — второй пароль по смс присылают. Уровень безопасности выше.
avatar

yurikon

yurikon, прислать пароль по смс, то же что написать его на заборе… если вы не в курсе, то все смски оседают на сервере оператора и фиг знает кто имеет доступ и как распоряжается логами
Дмитрий Интрадей, вы делаете из мухи слона. По SMS присылаются _одноразовые_ пароли. Никому никакого толку от них не будет, даже если он их и получит. Почитайте про one time pad в википедии.

Так же не является уязвимостью и возможность ввода неполного логина. Логин не является секретной информацией. Таковой является пароль и секретный ключ.
avatar

ivan_petrov

Дмитрий Интрадей, пару человек имеют доступ к SMS-центру. а смс-центр один на 16 регионов. так что им пофиг на твою смс-ку
avatar

Мурен(а)

мои 5 копеек. знал об этом от техподдержки брокера, ибо в втб 24 каждые три года надо подписывать соглашение по квику. и без ввода пароля, вход не удаётся.
avatar

KSN

Дмитрий,
СМС одноразовые и действует в течение определенного времени. Многие интернет-банки используют смс-подтверждение. Имхо, вы неверно оцениваете риски взлома доступа в данном случае.
avatar

yurikon

В поле логина не обязательно даже первую букву ставить, достаточно просто нажать пробел, ввести пароль и всё зайдет.
avatar

Артём

Да, безусловно…

так и вхожу
avatar

Seven_17 (USD)

спасибо)) полезная инфа!)
avatar

Скальпёр

Агонь! )
avatar

Jet Scalp

Логин ни на что не влияет, можете не волноваться. Пароль должен быть сложным так как с помощью него зашифрован закрытый ключ (secring). Ваш публичный ключ есть у вас и у брокера. Брокер используя ваш публичный ключ (pubring) может расшифровать поток зашифрованный вашим закрытым ключом. Так что для брокера тот кто использует ваш закрытый ключ — тот и есть вы. Quik нужно настроить чтобы он искал ключи с защищенной флешки. Плюс выставить в квике опцию восстанавливать соелинение после обрава связи автоматом. Вставляете флешку, набираете логин (любая подстрока из набора символов в логине, хоть один символ), набираете забубенный пароль. После установки соединения флешку убираем. Все, до тех пор пока квик не закроете квик будет сам держать соединение.
avatar

oki7

oki7, я проверил. залогинился в квике. вытащил флешку. поток отключил кабель Ethernet. и квик больше не логиниться. этот совет не катит. версия квика 5.2
avatar

Мурен(а)

oki7, а как настроить квик, чтобы он искал ключи на флешке? единственное, с чем я согласен, что надо переместить файл QRYPTO.CFG в другую папку и переименовать его.
avatar

Мурен(а)

но как изменить путь в квик к файлу QRYPTO.CFG?
avatar

Мурен(а)

с точки зрения безопасности рекомендую кит финанс. у них используется ЭЦП. доступ к которому нужен только во время запуска программы квик. я проверил-вытщил флешку и квик работает.
avatar

Мурен(а)

с точки зрения безопасности рекомендую кит финанс. у них используется ЭЦП («ключевой контейнер»). доступ к которому нужен только во время запуска программы квик. я проверил-вытщил флешку и квик работает.
avatar

Мурен(а)

Забыл, самое дибильное что вы можете сделать с точки зрения кражи ключей — это держать ключи в каталоге с квиком или там где их местоположение описано в конфиг файле.
avatar

oki7

нашел QRYPTO.CFG. но если переместить файлы из папки, которая указана в QRYPTO.CFG, то квик не заходит. последний совет не катит.
avatar

Мурен(а)

iQuik.ru, спасибо! но как перемещать я знаю. нюанс в том, что путь к ним все равно указан в файле QRYPTO.CFG. троянец по-любому их выкрадет.
avatar

Мурен(а)

Евгений Александрович,
путь в QRYPTO.CFG в любом случае будеть указан. Иначе QUIK не сумеет прочитать ключи.
Причем я сегодня еще раз подумал на эту тему — вообще-то даже кратковременное подключение флешки не особо и спасет, те же вирусы записываются на флешку сразу при подключении мнгновенно.

Наверное единственный вариант, каким можно запутать алгоритм вируса — это прописать в QRYPTO.CFG относительный путь, например

pubring=key\pubring.txk
secring=key\secring.txk

при этом запускать QUIK ярлыком, а в ярлыке указать рабочим каталог какой-либо каталог на флешке. Например, пусть флешка у нас подключается диском F:, тогда сложить файлы ключей на флешку в папку f:\qqq\key, а в качестве рабочего каталога для запуска QUIK указать f:\qqq
В этом случае при запуске QUIK будет считывать ключи из нужного каталога добавляя к пути для запуска папку key\ и успешно находить ключи, в то время как вирус без полного сканирования флешки замучается соображать по какому пути лежат ключи, потому как информация об этом по сути лежит в разных не связанных сущностях.

Что касается «кратковременного» подключения флешки — я точно помню, что на форуме был ответ по этому поводу от Алексея Пархомчика, однако касательно восстановления связи после обрыва соединения там речи не было. Вероятно в этот момент ключи снова нужны. И если мы воспользовались методикой относительных путей — то может возникнуть проблема например в том случае, когда во время работы QUIK мы поменяли текущую папку, например, открыв файл QPile-портфеля из другой папки. Но это все надо проверять, мне лень, признаться.

В общем не теряйте по возможности связь с сервером, тогда флешку с ключами действительно можно будет подключать лишь на момент установления соединения. Хранить ключи после чтения в памяти QUIK — это тоже неразумно, согласитесь, их ведь запросто можно оттуда будет умыкнуть вирусу.
avatar

swerg


Только зарегистрированные и авторизованные пользователи могут оставлять комментарии.

Залогиниться

Зарегистрироваться
....все тэги
Регистрация
UPDONW