Platebni system v Mojo Nation neni platebni system v dosavadnim slova smyslu, resp. vybocuje z nich. Navic Mojo Nation je nazev site peer-to-peer, nikoli platebni system. Mena 1 Mojo (cca tisicina centu) neslouzi k zadnym nakupum, ale moznosti vubec se pohybovat v siti. Ptati se za pouzivani serveru, cili technickych prostredku site. Bezni uzivatele jen utraceji (vzdalene podobne jako treba u mereneho poctu stazenych bajtu via ISP). Aby v siti mohli byt, museji si koupit Mojo za realne finance, nebo do site pripojit nejaky server, za jehoz vyuzivani jim (mozna) budou pribyvat Mojo.
Bliz I Like Q je PayPal, ktery vyuziva napr. i eBay. Hlavnim puvabem pro surfare jsou nulove platby za interni prevody v systemu. To umoznuje i provadeni mikroplateb v mire, v jake je spravci systemu stanovi.
I kdyz jsem tak ucinil uz ve svem clanku o I Like Q, ucinim tak jeste jednou - gratulace Villusion (plus co nejmin pruniku, podvodu a krachu...). Go ahead!:)
Take ja jsem si koupil Neffovu povidku za supercenu 10 Q. Co me vsak chybi jsou dalsi informace:
- kde si muzu vymeit Q za CZK a obracene?
- jak se stat Qemitorem, Qolektorem?
- vzniknou Q banky, realizujici urocene vQlady/pujcky?
- jak je technicky zajistena autorizace klienta sbiraciho od emitora Q (mam na mysli situaci kdy by uzivatel (bez vlastniho vedomi) sbiral pro nekoho jineho)?
Jinak pochopitelne preji autorum mnoho zdaru. Skutecnym a definitivnim potvrzenim uspechu projektu bude paradoxne nepopolurani opatreni: zavedeni Qdani.
Penove, jedina poznamka to s ohledem na bezpecnost.
Jiz nyni je vic nez pravdepodobne, ze vas system bude napaden a proto vam doporucuji se o sifrovani a bezpecnost PORADNE zajimat. Kdyz mi reknete "zabezpeceny kanal", tak je mi to trochu smesne, ptz to zni jako byste nosili paketiky s transakcemi do mezibankovniho clearing centra :)))))
Podle meho nazoru tohle je klicova a zcela zasadni zalezitost, ptz staci JEDINY prunik do systemu a okamzite je system zdiskreditovan a uz to nikdy nenapravite a to vam nepreji.
Proto bych radeji nerikal "bezpecny kanal" (me osobne jiz po tom svrbi ruce abych se sam podival jak je bezpecny ;) ), ale radeji napiste, ze napr. pouzivate JCA/JCE implementaci (dival jsem se na vasi spolupraci se Sunem a Javove prostredi tak proto to zminuji ;) ) a ze mate jejich referencni implemtaci se silnym sifrovanim. Proste kdyz zminite, ze tam treba pouzivate 128-bitove proudove sifry a na to vazane treba 4kilove RSA tak jiz jen tenhle fakt mnoho lidi odradi od pruniku do systemu. Ten je v teto tezkotonazni kalibraci mozny jiz jen pres chybu v implementaci, ale to je DESNE netrivialni najit. A jiz tim jen stoupne vase duveryhodnost a bude se vam lepe delat marketing.
Jinak vam preji hodne zdaru, ptz sam vim co vas ceka. Sami jsme se snazili vybudovat platebni system asi pred 3 roky ale nakonec to padlo na nezajmu bank. Snad se vam bude darit lepe.
Vazeny pane,
Vase poznamka je spravna a dekuji za podporu. Rozumna bezpecnost kazdeho mikroplatebniho mechanismu je nutna. Rozumnou bezpecnostni myslim takovou, kdy naklady na obohaceni jsou vyssi nez obohaceni samo.
Domnivam, ze napadnuti primo transakcniho systemu je temer vylouceno. Je zajistena fyzicka bezpecnost a vzdaleny pristup k systemu je evidovan a zaznamenavan. Pristup k jednotlivym uctum je umoznen pouze pres bezpecnostni heslo zasilane, jako vsechna hesla pres SSL. Mame 128 bitovy certifikat od THAWTE, ale samozrejme zalezi na browseru, jak silne sifrovani implementuje. Hesla uzivatelu jsou v databazi zasifrovana a nikdo krome uzivatele by je nemel znat.
Z algoritmu, ktere pouzivame zminim SHA1 pro zajisteni integrity zprav. Preferujeme symetricke sifrovani (tajne klice) pred RSA zduvodu rychlosti. Take pouzivame nahodny generator, ktery se ridi doporucenim IEEE P1363.
Dalsi otazkou je bezpecnost samotnych pripojenych serveru, proto se snazime vybudovat takovou bezp. politiku, kdy vetsina nastaveni si zapojeny server administruje pres system I LIKE Q. Implementaci jakou pouzivame nemohu takto verejne sdelit, ale rekneme, ze Vami popsane schema povazujeme take za dobre :).
Pokud mate zajem o vice informaci napiste mi na moji adresu, rad se o tom s Vami pobavim, zvlaste kdyz mate bohate zkusenosti z teto oblasti.
Copak o to, v sifrovani/autentizaci/integrite opravdu neni problem, ale bohuzel je malokdy sifrovani nejslabsim clankem retezu. Daleko horsimi
problemy jsou bezpecnost serveru (a tohle je o dost horsi situace nez u bezneho webu, jde tu o penize), prihlasovacich hesel jak spravcu systemu (aneb kdo mi zabrani na Windows administratora treba virem nainstalovat odchytavac klavesnice), tak samotnych uzivatelu (podivam se na nejaky seznam uzivatelu, treba z nejakych logu meho zucastneneho serveru, zkusim hadat jejich hesla, u tech co je uhadnu si vsechny penize prevedu na svuj ucet ktery nasledne promenim na koruny a zmizim do ciziny). Spousta dalsich problemu muze vzniknout nedomyslenosti protokolu..
Konkretne u Ilikeq mi prijde hodne divne, ze se sice heslo autentizuje pres https formular, ovsem stranka, ze ktere se na ni jde, zasifrovana neni, a po autentizaci je zde opet redirect na normalni stranky.
Dobry den Hynku,
myslim, ze ti muzu tykat, trochu se prece zname.
bezpecnost serveru a sprava je skutecne povolena jen omezene skupine osob, ktere znaji rizika a prihlasuji se zasadne z dedikovanych pocitacu, proto napriklad treba jen drobna uprava v designu banky se musi naplanovat a koordinovat.
Tvoji starost kolem hadani hesel, trojskych koni v pocitacich uzivatelu, chapu. Je to, ale komplexni problem, kdy uzivatele musime naucit, aby meli hesla opravdu kvalitni, a aby druhe heslo zadavali ze stroju, kterym veri. Tvuj napad je jiste dobry, ale tak, jak si ho popsal by zcela 100% nefungoval - ale to tady nemuzu psat :). Muzu, ale rict, ze podezrele chovani (statisticky vyznamne odlisne od ocekavaneho chovani) se v systemu monitoruje a jsou interne nastavene nejake "limity".
Uzivatelum nabidneme smenitelnost na zacatku ledna. A pokud mas pocit, ze jsem Ti nenapsal vse, tak se stav, muzeme se o tom pobavit - a treba I LIKE Q jeste vylepsime :)
Ale o to nejde -- ja jsem tyhle ruzne veci uvadel jen jako
ilustraci toho, ze v sile a typu sifry rozhodne neni vsechno, jak to naznacoval prispevek Authora. V sile sifry je mozna tak maximalne falesny pocit bezpeci. :-)
Je to určitě fajn, chtěl jsem však registrovat náš server a nepodařilo se mi vůbec otevřít stránku s formulářem ??!! Také stránka je roztažená přes 1,5 obrazovky a další drobnosti. Chtělo by to ještě dočísnout....
Doufám že systém se chytne tak, jako PayPal v USA :). V Každém případě je něco takového třeba, jen to ještě trochu "zaintegrovat" do "normálních" platebních systémů, třeba možnost "dobití" kartou atd. Je tam taky trochu velký (pro běžného uživatele - ne pro obchod)ten minimální 50 Kč poplatek za konverzi na reálné peníze. Ale důvod je jasný. Služba musí z něčeho žít.
- kde si muzu vymenit Q za CZK a obracene?
momentalne system umoznuje oboustranou vymenu pro servery, termin zpristupneni teto sluzby uzivatelum je 1.1.2001
- jak se stat Qemitorem, Qolektorem?
vyplnte formular na www.ILIKEQ.cz v menu ZAPOJENE SERVERY-KONTAKTNI FORMULAR
(primy odkaz: http://gate.villusion.com/~rakiwe/servers/)
a budou Vam zaslany informace o zapojeni do systemu I LIKE Q vcetne kontaktu na obchodni oddeleni, ktere je pripraveno odpovedet na Vase dalsi dotazy.
-vzniknou Q banky, realizujici urocene vQlady/pujcky?
Spolecnost Villusion a.s. vyvinula a provozuje system
I LIKE Q jako univerzalni mikroplatebni transakcni system. Villusion a.s. spolu s jiz zapojenymi servery a dalsimi partnery chysta nekolik dalsich projektu.
Tuto platformu vsak muze vyuzit kdokoliv. Jsme presvedceni, ze servery, uzivatele, podnikatele a ostatni vyuziji system I LIKE Q k realizaci vlastnich skvelych napadu a obchodnich zameru.
- jak je technicky zajistena autorizace klienta sbiraciho od emitora Q (mam na mysli situaci kdy by uzivatel (bez vlastniho vedomi) sbiral pro nekoho jineho)?
System je zabezpecen kombinaci jmeno/heslo , ktere zna pouze uzivatel. Tyto udaje jsou prenaseny bezpecnym kanalem.
Pokud Qdane maji predstavovat poplatky za pouziti systemu: Pro uzivatele je a bude system zdarma.