Мурен(а)
Мурен(а) личный блог
02 ноября 2012, 13:04

Quik: Знаете ли вы...

Знаете ли вы, что для входа в Quik  в поле «логин» достаточно набрать только первую букву:
 Quik: Знаете ли вы...
80 Комментариев
  • La_resistance
    02 ноября 2012, 13:06
    ))
  • Игорь "skaut"
    02 ноября 2012, 13:07
    афуеть не встать)))
  • UncleFedor
    02 ноября 2012, 13:08
    баян бородатый…
      • Werner Heisenberg
        02 ноября 2012, 13:35
        Евгений Александрович, ссылку на что? На знание? НУ вы даете… но это действительно давноооооооо известная особенность логина. Удивляет что столько людей про нее не знали
      • Bobby Axelrod (ABN Capital)
        02 ноября 2012, 14:08
        Евгений Александрович, а еще есть привод автологин для квика
  • Дмитрий Интрадей
    02 ноября 2012, 13:12
    пи**ц!!! я в шоке!!! они что окуели?! реально зашел
      • Дмитрий Интрадей
        02 ноября 2012, 13:17
        Евгений Александрович, а с фига ли ключи, если это будет мой комп в каком офисе или ноут сопрут скопировав с винта квик и ключики
        • Дмитрий Интрадей
          02 ноября 2012, 13:17
          Дмитрий Интрадей, короче после такой темы надо подлиннее пароль придумать, хотя уверен и там дырка есть. сцуки
            • Дмитрий Интрадей
              02 ноября 2012, 13:21
              Евгений Александрович, ага и желательно чтобы на цепи был и в бункере, в доспехах сидеть надо или достаточно забрала?
    • Werner Heisenberg
      02 ноября 2012, 13:35
      Дмитрий Интрадей, а что в этом такого то? Никак не пойму.
      • Дмитрий Интрадей
        02 ноября 2012, 13:51
        Dimanite, если вы задаете такой вопрос — то ничего. Я согласен с вами — ядерная кнопка должна быть максимально доступной, ведь ее же надо быстро нажать. Давайте ее разместим дополнительно на унитазе, ведь вдруг в сартире, а надо кнопку ядерную нажать! Удобно же!!!
    • Natty
      02 ноября 2012, 14:04
      Дмитрий Интрадей, если откроете ключик блокнотом, там ваш логин и так написан
      • Дмитрий Интрадей
        02 ноября 2012, 14:10
        NattyD, глянул… нашел. Теперь однозначно пароль должен быть не меньше 20 символов
  • Maksa
    02 ноября 2012, 13:13
    я всегда так захожу с самого начала))))
  • Дмитрий Интрадей
    02 ноября 2012, 13:14
    не удивлюсь если есть еще пароль вроде adminquik который подойдет любому… Резкий шорт репутации квика и то что этим не афишируют, но эта дырища есть
    • MikhailZ
      02 ноября 2012, 13:56
      Дмитрий Интрадей, Не бойся, с вероятностью в 90% там поле фамилия используется только для выбора конкретного ключа из списка возможных. ПОтому толку с него 0. А вот пароль уже будет использоваться для расшифровки самого ключа — тут действительной «qwerty» лучше не ставить. На счет админского ключа для квика — нет, этого не будет 100%. Ключи прописывает каждый брокер у себя и они однозначно идентифицируют клиента. Так что зайти под другим, намертво вшитым ключем, врядли вообще возможно.
  • Владимирович(KUKLriu1)
    02 ноября 2012, 13:15
    опа точняк зашёл
  • Gugenot
    02 ноября 2012, 13:22
    Ну да… есть такое дело…
    меня об этом много-много лет назад
    проинформировали в Трояке,
    когда я там свой счёт открывал…
    :)
    • Brahman
      02 ноября 2012, 15:50
      Gugenot, аналогично Док!

      Доброго Дня Вам!
  • mit
    02 ноября 2012, 13:28
    Почему они до сих пор не сделали ключи на отдельном носителе?
    • Daks
      02 ноября 2012, 13:30
      mit, сделай, кто тебе мешает?
    • KrovoSoSS
      02 ноября 2012, 13:34
      mit, это можно сделать самостоятельно — но есть нюанс: квик постоянно обращается к ключам и носитель быстро убивается (так как у флэшек ограниченное количество циклов запись/чтение, хоть оно и большое). Но квик умудряется убить любую флэшку за пару месяцев, если вы подключаетесь к торгам каждый день))))
      • Андрей
        02 ноября 2012, 13:44
        KrovoSoSS, у меня два года ключи на флехе и ничего не убило
        • KrovoSoSS
          02 ноября 2012, 17:07
          Напалков Андрей, тогда странно… у меня новая флэшка с ключом убилась за два месяца и я грешил именно на Квик, так как прочитал потом в инструкции от брокера, что очень не рекомендуется размещать ключи на флэшке.
      • MikhailZ
        02 ноября 2012, 13:57
        KrovoSoSS, у флехи ограниченное кол-во циклов ЗАПИСИ, не чтения. Так что убить ее если и сможет — то только виндовс, изменяя атрибуты доступа к файлам. Да и то это будет очень врядли.
  • siva
    02 ноября 2012, 13:28
    Хахахахахах :)
    Коллеги, мне кажется — это номинация на пост года на фарт-лабике!!!
  • Daks
    02 ноября 2012, 13:29
    Любую букву которая есть в логине, не обязательно первую.
  • Richmond
    02 ноября 2012, 13:29
    какой т оу тебя квик допотопный
  • Borrris
    02 ноября 2012, 13:29
    +4 Наблюдательно… Занимательно ))))
  • Ilya-S
    02 ноября 2012, 13:31
    Есть такое дело, видимо они решили, что это не так важно
  • waldhaber
    02 ноября 2012, 13:34
    А смысл кому-то воровать доступ к Квику?
    • Werner Heisenberg
      02 ноября 2012, 13:36
      waldhaber, ну как — бабло перевести на свои счета… вы что? вчера что ли торговать начали?
    • KrovoSoSS
      02 ноября 2012, 13:40
      waldhaber, будут заходить со своего счета (разумеется подставного, оформленного на бомжа), покупать жуткий неликвид по любой цене и тут же выставлять его на продажу втридорога… а потом заходят с чужого счета (ворованного) и выкупают этот неликвид, таким образом перекачивая деньги.
      • waldhaber
        02 ноября 2012, 14:05
        KrovoSoSS, вот. Друзья, наш товарищь описал 100%-рабочую ТС… наконец-то на фондовом станет возможно зашибать бабло гарантированно.))
        А по серьезному… такие преценденты были или это только теория?
        • Bobby Axelrod (ABN Capital)
          02 ноября 2012, 14:15
          waldhaber, были но совсем так.
        • KrovoSoSS
          02 ноября 2012, 17:12
          waldhaber, на сколько я понял такие случаи были. Я когда учился на курсах у Резвякова он нам рассказывал про эту особенность квика с логином и про какой-то громкий случай с перекачкой денег, который был много лет назад (наверно лет 10 назад и кажись у Финама). Короче можно пошарить архивы в интернете. Правда там вроде не из-за логинов, а из-за украденных паролей и ключей с помощью вируса.
          • KrovoSoSS
            02 ноября 2012, 17:18
            Во, нашел:

            ИСТОРИИ ТРЕЙДЕРОВ: ХАКЕРЫ ВЗЛОМАЛИ QUIK

            uptrade.ru/raznoe/istorii-trejderov-xakery-vzlomali-quik.htm
            • KrovoSoSS
              02 ноября 2012, 17:29
              А, помню еще Резвяков рассказывал что так перекачивать деньги в принципе могут управляющие крупными фондами: наоткрывать подставных счетов и выставлять там неликвид по завышеным ценам, а потом за счет средств клиентов покупать у самого себя. Когда фонд большой и операций много, то никто и не заметит, а если и заметит, то свои действия всегда можно объяснить фундаментальным анализом, инсайдом и т.д. и т.п.
  • Павел 48
    02 ноября 2012, 13:36
    Я вообще это за + считал.
    • Werner Heisenberg
      02 ноября 2012, 13:37
      Павел 48, согласен — удобно же, что народ волнуется то
  • Григорий
    02 ноября 2012, 13:38
    я не зашел без пароля
    • Сторож сена
      02 ноября 2012, 23:28
      Григорий, я не зашел без квика. так-что, всё нормально!
  • Андрей Шараевский
    02 ноября 2012, 13:39
    Сенсация, ептыть))
  • Соколов Сергей
    02 ноября 2012, 13:45
    Знаем )
  • Миша Чеширский
    02 ноября 2012, 13:46
    Не знал. Сработало, но логин у меня простой так что не напрягаюсь когда его пишу.
  • ProfFit
    02 ноября 2012, 13:46
    При открытии счета и генерации ключей об этом предупреждает каждый уважающий себя брокер. Для меня новость, что есть такие, кто по незнанию годами вводят полный логин.
  • Владимир Спицын
    02 ноября 2012, 14:02
    У Кита двойной пароль на доступ к ключам, а окна логин-пароль вообще нет.
  • DarkElf96
    02 ноября 2012, 14:17
    Уголок, Кэпа?)
  • Johnny_22
    02 ноября 2012, 14:18
    более того, достаточно пробела вместо логина. Или любой буквы из логина :)
  • yurikon
    02 ноября 2012, 14:20
    Сейчас есть двух факторная авторизация — второй пароль по смс присылают. Уровень безопасности выше.
    • Дмитрий Интрадей
      02 ноября 2012, 14:34
      yurikon, прислать пароль по смс, то же что написать его на заборе… если вы не в курсе, то все смски оседают на сервере оператора и фиг знает кто имеет доступ и как распоряжается логами
      • ivan_petrov
        02 ноября 2012, 14:47
        Дмитрий Интрадей, вы делаете из мухи слона. По SMS присылаются _одноразовые_ пароли. Никому никакого толку от них не будет, даже если он их и получит. Почитайте про one time pad в википедии.

        Так же не является уязвимостью и возможность ввода неполного логина. Логин не является секретной информацией. Таковой является пароль и секретный ключ.
  • KSN
    02 ноября 2012, 15:40
    мои 5 копеек. знал об этом от техподдержки брокера, ибо в втб 24 каждые три года надо подписывать соглашение по квику. и без ввода пароля, вход не удаётся.
  • yurikon
    02 ноября 2012, 15:59
    Дмитрий,
    СМС одноразовые и действует в течение определенного времени. Многие интернет-банки используют смс-подтверждение. Имхо, вы неверно оцениваете риски взлома доступа в данном случае.
  • Артём
    02 ноября 2012, 16:09
    В поле логина не обязательно даже первую букву ставить, достаточно просто нажать пробел, ввести пароль и всё зайдет.
  • $even_17 (PhD)
    02 ноября 2012, 19:19
    Да, безусловно…

    так и вхожу
  • Скальпёр
    02 ноября 2012, 21:30
    спасибо)) полезная инфа!)
  • Jet Scalp
    02 ноября 2012, 23:17
    Агонь! )
  • oki7
    03 ноября 2012, 03:20
    Логин ни на что не влияет, можете не волноваться. Пароль должен быть сложным так как с помощью него зашифрован закрытый ключ (secring). Ваш публичный ключ есть у вас и у брокера. Брокер используя ваш публичный ключ (pubring) может расшифровать поток зашифрованный вашим закрытым ключом. Так что для брокера тот кто использует ваш закрытый ключ — тот и есть вы. Quik нужно настроить чтобы он искал ключи с защищенной флешки. Плюс выставить в квике опцию восстанавливать соелинение после обрава связи автоматом. Вставляете флешку, набираете логин (любая подстрока из набора символов в логине, хоть один символ), набираете забубенный пароль. После установки соединения флешку убираем. Все, до тех пор пока квик не закроете квик будет сам держать соединение.
  • oki7
    03 ноября 2012, 03:25
    Забыл, самое дибильное что вы можете сделать с точки зрения кражи ключей — это держать ключи в каталоге с квиком или там где их местоположение описано в конфиг файле.
      • swerg
        08 ноября 2012, 21:00
        Евгений Александрович,
        путь в QRYPTO.CFG в любом случае будеть указан. Иначе QUIK не сумеет прочитать ключи.
        Причем я сегодня еще раз подумал на эту тему — вообще-то даже кратковременное подключение флешки не особо и спасет, те же вирусы записываются на флешку сразу при подключении мнгновенно.

        Наверное единственный вариант, каким можно запутать алгоритм вируса — это прописать в QRYPTO.CFG относительный путь, например

        pubring=key\pubring.txk
        secring=key\secring.txk

        при этом запускать QUIK ярлыком, а в ярлыке указать рабочим каталог какой-либо каталог на флешке. Например, пусть флешка у нас подключается диском F:, тогда сложить файлы ключей на флешку в папку f:\qqq\key, а в качестве рабочего каталога для запуска QUIK указать f:\qqq
        В этом случае при запуске QUIK будет считывать ключи из нужного каталога добавляя к пути для запуска папку key\ и успешно находить ключи, в то время как вирус без полного сканирования флешки замучается соображать по какому пути лежат ключи, потому как информация об этом по сути лежит в разных не связанных сущностях.

        Что касается «кратковременного» подключения флешки — я точно помню, что на форуме был ответ по этому поводу от Алексея Пархомчика, однако касательно восстановления связи после обрыва соединения там речи не было. Вероятно в этот момент ключи снова нужны. И если мы воспользовались методикой относительных путей — то может возникнуть проблема например в том случае, когда во время работы QUIK мы поменяли текущую папку, например, открыв файл QPile-портфеля из другой папки. Но это все надо проверять, мне лень, признаться.

        В общем не теряйте по возможности связь с сервером, тогда флешку с ключами действительно можно будет подключать лишь на момент установления соединения. Хранить ключи после чтения в памяти QUIK — это тоже неразумно, согласитесь, их ведь запросто можно оттуда будет умыкнуть вирусу.

Активные форумы
Что сейчас обсуждают

Старый дизайн
Старый
дизайн