Поговорим немного о безопасности
Если у вас контроль нескольких бирж, значит в ключах конкретной биржи я дам право на перевод крипты вне биржи и если вас хакнут, теоретически выведут деньги не на мой адрес на другой бирже, а на левый какой-то адрес?
Если наш терминал TraderBox "хакнут", не имея вашего пароля, доступа к ключам хакеры не получат, так как все ключи шифруются с помощью 4-килобитных ключей, частью которого является Ваш пароль, часть берётся из сессии, а часть знает сервер. То есть если злоумышленники получат доступ к серверу, они максимум что смогут, так это скопировать зашифрованные ключи.
PGP (англ. Pretty Good Privacy) — компьютерная программа, также библиотека функций, позволяющая выполнять операции шифрования и цифровой подписи сообщений, файлов и другой информации, представленной в электронном виде, в том числе прозрачное шифрование данных на запоминающих устройствах, например, на жёстком диске.
Странно. Суть биржи же в том, что я закрыл программу или страницу, а торговля продолжается и с одного кошелька деньги переводятся на другой, без моего участия. Доступ к моим ключам нужен? Мне кажется, просто на сервере перед переводом подменить адрес получателя и всё?
Исполнением Ваших приказов занимается сама биржа, мы не терминал TraderBox. А что касается ордеров стоп лосс и тейк профит, то когда вы отправляете приказ к нам (их обработкой занимаются наши сервера), Вы создаёте единичную подпись, которая будет разрешением для отправки приказа на биржу для закрытия позиции в случае срабатывания одного из двух приказов.
Подменить адрес не достаточно, так как тогда изменяется подпись (данные же другие), следовательно - либо проверка нашего сервера не пройдёт, либо биржа завернет.
Теоретически, если злоумышленники получили доступ к вашему браузеру, есть вариант, что они попытаются получить доступ к ключам шифрования сессии пока вы находитесь в терминале TraderBox, поэтому мы их меняем раз в 30 секунд. И то, толк от этого ключа будет только в случае, если они знают ваш пароль или имеют доступ к нашему серверу на уровне как минимум администратора.
Комментариев нет: