Ich bin ja ganz begeistert von LNBits und darum werde ich jetzt mal ein eigenes Thema mit Fragen und Ideen dazu starten: https://legend.lnbits.com/wallet?usr=33cd047f6610415ea69ff98b1649f020&wal=d27dfaf4ef63468fbc1750a4a4eee860 Die erste Frage dazu
Das ganze wird ja rein über die URL verschlüsselt ohne Passwort. Also kann ja jetzt jeder die oben verlinkte Wallet öffnen in der Hoffnung an die 6 Sats zu kommen die da noch drauf sind.
(Achtung die wird mit Sicherheit schon überwacht!)
Also vor 20 Jahren als ich mal SelfHtml 3 mal ruf und runter studiert habe wurde bereits dringend von so etwas abgeraten. (Glaube Get & Post war das, ist lange her)
Sind denn heutzutage URL Ausspähungen gar kein Thema mehr?
Wenn ich jetzt die URL versehentlich oben im Browser eingebe dann hat doch der Blocktrainer über seine Logfiles Zugriff auf die Wallet richtig?
Wie gehe ich den nun mit so etwas am besten um?
Von der Festplatte aus eine HTML-Datei mit URL-Weiterleitung evtl. ?
Oder sogar eine Subdomain mit einem vernichtenden Namen wie abfall.name.com ?
Was wäre bei so etwas wohl am besten angeraten?
Verzichten kommt bei dem Tool nicht in Frage.
Weitere fragen und Ideen zu LNBits folgen noch in Kürze.
So ist das aktuell. Der Link darf nicht öffentlich geteilt werden.
Login functionality to be released in a future update, for now, make sure you bookmark this page for future access to your wallet! This service is in BETA, and we hold no responsibility for people losing access to funds.
Genau das und er darf auch nicht irgendwo im Browser eingegeben werden wegen der Logfiles.
Also kann man sich doch Fragen wie man damit jetzt am besten umgeht.
Zwei Ideen habe ich oben ja schon geschildert dazu.
Das könnte doch hilfreich sein?
Aber evtl. geht es ja auch viel einfacher?
Das gleiche Problem habe ich ja auch bei allen Tools die auf LNBits aufbauen wie z.B. die beliebten TippCards.
Das ist ein alter QR von einem vergangenem Projekt.
Da hatte ich 2 Probleme mit technischer Natur.
Obwohl ich dieses Bild nur hier im Forum relativ unbeobachtet mal gepostet habe hat es nur dazu geführt das immer ein und die selbe Person zu ca. 150 Auszahlungen gekommen ist.
Also habe ich mir Gedanken gemacht ob es da Lösungen gibt mit Hilfe der individuellen Codes i.V.m. IP-Sperren, Cookies etc.
Auch wenn ich mir 250 verschiedene Codes erzeuge, muss ich diese ja erst mal irgendwie in mein Projekt hineinbekommen in eine Liste oder erst später über eine CSV-Datei einlesen irgend was halt.
Ich habe sogar gedacht es wäre evtl. ratsam den Quelltext schlecht lesbar zu machen. Verschlüsseln würde ich das hier lieber nicht nennen.
Jedenfalls dachte ich mir für diese Art von Fragen wäre ein anderes Forum bei dem ich auch angemeldet bin geeigneter weil sich da absolute Experten über Servertechnik haufenweise herumtummeln.
Das vernichtende Urteil von Leuten die ich diesbezüglich für absolute Experten halte lautet einstimmig: ‚Für beide diese Probleme gibt es keine wirksame technische Lösung.‘
Und so wie ich mir das vorgestellt habe mit Clientseitiger Programmierung sorgt das eher für Erheiterung.
Ich solle mir nicht einbilden das es überhaupt nur die geringste Schwierigkeit bereiten würde an alle meine 250 (10000 wären mir ja sogar lieber gewesen) ‚Gewinncodes‘ heranzukommen. Ein motivierter Hacker wird sich damit nur ganz kurz befassen und den Rest der Arbeit würden Bots erledigen. Auf welche Art und Weise ich da versuche zu tarnen, täuschen , Fehlinformationen verbreite spielt dabei überhaut keine Rolle. Die Technischen Teil kann ich als Laie nicht so wiedergeben. Scriptinfizierung von außen irgendwas.
Selbst wenn ich jetzt Serverseitig arbeiten würde wäre dies kein wirksamer Schutz. Es kostet dann den Angreifer nur ein kleines bisschen mehr als das müde A.runzeln.
Auch die Sache mit der IP-Sperre oder den Keksen kann ich vergessen.
Wenn das jemand ernsthaft will wäre das alles überhaupt gar keine nennenswerte Hürde.
Was man wohl machen könnte wäre nur ein, sogar permanenter, Dauercode mit Sekündlicher Auszahlung. Wenn sowieso jede Sekunde 10 verschiedene Leute diesen Code einscannen brauche ich mir über die Sicherheit keine Gedanken zu machen.
Wie gesagt bin ich gerade ein wenig demoralisiert.
Ich befürchte das ich somit ca. 95% aller meiner Ideen damit beerdigen kann oder sollte.
(Kann sogar sein das ich mir welche von denen zum Feind gemacht habe. Ich musste erst mal 5 Beiträge wegen Beleidigung & Spam den Forumsmoderatoren melden bevor es sachlich um die Technik ging. Ihr wisst schon : Ach Bitcoiner das sind doch alles Kriminelle etc etc. )
Tja ich werde da jetzt erst mal eine Nacht drüber schlafen aber es sieht schlecht aus für fast alle meiner schönsten Projektideen.
Ja danke, ich bin schon umgestiegen auf Timecatcher. Glaube so hieß das.
Der nette Mensch dem ich das verdanke ist der Meinung diese Server verkraften sogar einen Massenansturm durch Fernsehwerbung etc. Natürlich ist da auch der Beta-Warnhinweis zu finden aber was solls.
Hi,
ich finde LNBits auch super interessant und es hat viel Potential; habe aber keinen konkreten Anwendungsfall - also blieb es bei Spielerei. (z.B. Taschengeld für Sohnemann)
Die Extension LNURLw bietet einen QR Code der mehrfach benutzt werden kann. Man kann dort auch einstellen wie oft und eine Zeitsperre geht auch (Time between withdrawals)
Es gibt sogar webhooks, wenn jmd den Code benutzt.
Mir scheint das meine Bedenken der erste Frage zu den URL-Ausspähungen durch Provider Logfiles hier irgendwie gar nicht verstanden wurden. Falls hier irgend jemand doch meine Bedenken teilen sollte: Ich mache das jetzt so:
Erst den Browser ganz beenden und dann neu starten durch den Aufruf der Html-Datei von der Festplatte aus. Wer es dann auch noch schafft den Browser nach der Arbeit mit der Wallet wiederum ganz zu schließen und nicht versehentlich eine FremdURL an zu surfen sollte etwas sicherer sein.
Mehr ist mir jetzt persönlich nicht dazu eingefallen.
