Блог им. ognevoy

Quik: Знаете ли вы...

Знаете ли вы, что для входа в Quik  в поле «логин» достаточно набрать только первую букву:
 Quik: Знаете ли вы...
  • Ключевые слова:
  • quik
★16
80 комментариев
))
avatar
афуеть не встать)))
avatar
баян бородатый…
avatar
UncleFedor, кинь ссылку
avatar
Евгений Александрович, ссылку на что? На знание? НУ вы даете… но это действительно давноооооооо известная особенность логина. Удивляет что столько людей про нее не знали
avatar
Dimanite, она что, в хелпе описана? откуда частному «трейдеру из деревни» о ней знать?
avatar
Евгений Александрович, а еще есть привод автологин для квика
пи**ц!!! я в шоке!!! они что окуели?! реально зашел
Дмитрий Интрадей, а ключи на что?
avatar
Евгений Александрович, а с фига ли ключи, если это будет мой комп в каком офисе или ноут сопрут скопировав с винта квик и ключики
Дмитрий Интрадей, короче после такой темы надо подлиннее пароль придумать, хотя уверен и там дырка есть. сцуки
Дмитрий Интрадей, вообще для серьезных торгов надо использовать отдельный комп. без одноклассников и т.д.
avatar
Евгений Александрович, ага и желательно чтобы на цепи был и в бункере, в доспехах сидеть надо или достаточно забрала?
Дмитрий Интрадей, а что в этом такого то? Никак не пойму.
avatar
Dimanite, если вы задаете такой вопрос — то ничего. Я согласен с вами — ядерная кнопка должна быть максимально доступной, ведь ее же надо быстро нажать. Давайте ее разместим дополнительно на унитазе, ведь вдруг в сартире, а надо кнопку ядерную нажать! Удобно же!!!
Дмитрий Интрадей, если откроете ключик блокнотом, там ваш логин и так написан
avatar
NattyD, глянул… нашел. Теперь однозначно пароль должен быть не меньше 20 символов
я всегда так захожу с самого начала))))
avatar
Maksa, я тоже. но решил, что начинающие на смартлабе должны знать нюансы :-)
avatar
не удивлюсь если есть еще пароль вроде adminquik который подойдет любому… Резкий шорт репутации квика и то что этим не афишируют, но эта дырища есть
Дмитрий Интрадей, Не бойся, с вероятностью в 90% там поле фамилия используется только для выбора конкретного ключа из списка возможных. ПОтому толку с него 0. А вот пароль уже будет использоваться для расшифровки самого ключа — тут действительной «qwerty» лучше не ставить. На счет админского ключа для квика — нет, этого не будет 100%. Ключи прописывает каждый брокер у себя и они однозначно идентифицируют клиента. Так что зайти под другим, намертво вшитым ключем, врядли вообще возможно.
avatar
опа точняк зашёл
Ну да… есть такое дело…
меня об этом много-много лет назад
проинформировали в Трояке,
когда я там свой счёт открывал…
:)
avatar
Gugenot, аналогично Док!

Доброго Дня Вам!
avatar
Почему они до сих пор не сделали ключи на отдельном носителе?
avatar
mit, сделай, кто тебе мешает?
avatar
mit, это можно сделать самостоятельно — но есть нюанс: квик постоянно обращается к ключам и носитель быстро убивается (так как у флэшек ограниченное количество циклов запись/чтение, хоть оно и большое). Но квик умудряется убить любую флэшку за пару месяцев, если вы подключаетесь к торгам каждый день))))
avatar
KrovoSoSS, у меня два года ключи на флехе и ничего не убило
avatar
Напалков Андрей, тогда странно… у меня новая флэшка с ключом убилась за два месяца и я грешил именно на Квик, так как прочитал потом в инструкции от брокера, что очень не рекомендуется размещать ключи на флэшке.
avatar
KrovoSoSS, у флехи ограниченное кол-во циклов ЗАПИСИ, не чтения. Так что убить ее если и сможет — то только виндовс, изменяя атрибуты доступа к файлам. Да и то это будет очень врядли.
avatar
Хахахахахах :)
Коллеги, мне кажется — это номинация на пост года на фарт-лабике!!!
avatar
Любую букву которая есть в логине, не обязательно первую.
avatar
Daks, о даже любую! я не знал
avatar
какой т оу тебя квик допотопный
avatar
rokaware, да я знаю. потому что в новых есть глюки, которые мне мешают
avatar
+4 Наблюдательно… Занимательно ))))
avatar
Есть такое дело, видимо они решили, что это не так важно
avatar
А смысл кому-то воровать доступ к Квику?
avatar
waldhaber, ну как — бабло перевести на свои счета… вы что? вчера что ли торговать начали?
avatar
waldhaber, будут заходить со своего счета (разумеется подставного, оформленного на бомжа), покупать жуткий неликвид по любой цене и тут же выставлять его на продажу втридорога… а потом заходят с чужого счета (ворованного) и выкупают этот неликвид, таким образом перекачивая деньги.
avatar
KrovoSoSS, вот. Друзья, наш товарищь описал 100%-рабочую ТС… наконец-то на фондовом станет возможно зашибать бабло гарантированно.))
А по серьезному… такие преценденты были или это только теория?
avatar
waldhaber, были но совсем так.
waldhaber, на сколько я понял такие случаи были. Я когда учился на курсах у Резвякова он нам рассказывал про эту особенность квика с логином и про какой-то громкий случай с перекачкой денег, который был много лет назад (наверно лет 10 назад и кажись у Финама). Короче можно пошарить архивы в интернете. Правда там вроде не из-за логинов, а из-за украденных паролей и ключей с помощью вируса.
avatar
Во, нашел:

ИСТОРИИ ТРЕЙДЕРОВ: ХАКЕРЫ ВЗЛОМАЛИ QUIK

uptrade.ru/raznoe/istorii-trejderov-xakery-vzlomali-quik.htm
avatar
А, помню еще Резвяков рассказывал что так перекачивать деньги в принципе могут управляющие крупными фондами: наоткрывать подставных счетов и выставлять там неликвид по завышеным ценам, а потом за счет средств клиентов покупать у самого себя. Когда фонд большой и операций много, то никто и не заметит, а если и заметит, то свои действия всегда можно объяснить фундаментальным анализом, инсайдом и т.д. и т.п.
avatar
Я вообще это за + считал.
avatar
Павел 48, согласен — удобно же, что народ волнуется то
avatar
я не зашел без пароля
avatar
Григорий, я не зашел без квика. так-что, всё нормально!
avatar
Сенсация, ептыть))
Знаем )
Не знал. Сработало, но логин у меня простой так что не напрягаюсь когда его пишу.
При открытии счета и генерации ключей об этом предупреждает каждый уважающий себя брокер. Для меня новость, что есть такие, кто по незнанию годами вводят полный логин.
avatar
У Кита двойной пароль на доступ к ключам, а окна логин-пароль вообще нет.
… в смысле подпись ЭЦП.
Уголок, Кэпа?)
avatar
более того, достаточно пробела вместо логина. Или любой буквы из логина :)
avatar
Сейчас есть двух факторная авторизация — второй пароль по смс присылают. Уровень безопасности выше.
avatar
yurikon, прислать пароль по смс, то же что написать его на заборе… если вы не в курсе, то все смски оседают на сервере оператора и фиг знает кто имеет доступ и как распоряжается логами
Дмитрий Интрадей, вы делаете из мухи слона. По SMS присылаются _одноразовые_ пароли. Никому никакого толку от них не будет, даже если он их и получит. Почитайте про one time pad в википедии.

Так же не является уязвимостью и возможность ввода неполного логина. Логин не является секретной информацией. Таковой является пароль и секретный ключ.
avatar
Дмитрий Интрадей, пару человек имеют доступ к SMS-центру. а смс-центр один на 16 регионов. так что им пофиг на твою смс-ку
avatar
мои 5 копеек. знал об этом от техподдержки брокера, ибо в втб 24 каждые три года надо подписывать соглашение по квику. и без ввода пароля, вход не удаётся.
avatar
Дмитрий,
СМС одноразовые и действует в течение определенного времени. Многие интернет-банки используют смс-подтверждение. Имхо, вы неверно оцениваете риски взлома доступа в данном случае.
avatar
В поле логина не обязательно даже первую букву ставить, достаточно просто нажать пробел, ввести пароль и всё зайдет.
avatar
Да, безусловно…

так и вхожу
avatar
спасибо)) полезная инфа!)
avatar
Агонь! )
avatar
Логин ни на что не влияет, можете не волноваться. Пароль должен быть сложным так как с помощью него зашифрован закрытый ключ (secring). Ваш публичный ключ есть у вас и у брокера. Брокер используя ваш публичный ключ (pubring) может расшифровать поток зашифрованный вашим закрытым ключом. Так что для брокера тот кто использует ваш закрытый ключ — тот и есть вы. Quik нужно настроить чтобы он искал ключи с защищенной флешки. Плюс выставить в квике опцию восстанавливать соелинение после обрава связи автоматом. Вставляете флешку, набираете логин (любая подстрока из набора символов в логине, хоть один символ), набираете забубенный пароль. После установки соединения флешку убираем. Все, до тех пор пока квик не закроете квик будет сам держать соединение.
avatar
oki7, я проверил. залогинился в квике. вытащил флешку. поток отключил кабель Ethernet. и квик больше не логиниться. этот совет не катит. версия квика 5.2
avatar
oki7, а как настроить квик, чтобы он искал ключи на флешке? единственное, с чем я согласен, что надо переместить файл QRYPTO.CFG в другую папку и переименовать его.
avatar
но как изменить путь в квик к файлу QRYPTO.CFG?
avatar
с точки зрения безопасности рекомендую кит финанс. у них используется ЭЦП. доступ к которому нужен только во время запуска программы квик. я проверил-вытщил флешку и квик работает.
avatar
с точки зрения безопасности рекомендую кит финанс. у них используется ЭЦП («ключевой контейнер»). доступ к которому нужен только во время запуска программы квик. я проверил-вытщил флешку и квик работает.
avatar
Забыл, самое дибильное что вы можете сделать с точки зрения кражи ключей — это держать ключи в каталоге с квиком или там где их местоположение описано в конфиг файле.
avatar
нашел QRYPTO.CFG. но если переместить файлы из папки, которая указана в QRYPTO.CFG, то квик не заходит. последний совет не катит.
avatar
iQuik.ru, спасибо! но как перемещать я знаю. нюанс в том, что путь к ним все равно указан в файле QRYPTO.CFG. троянец по-любому их выкрадет.
avatar
Евгений Александрович,
путь в QRYPTO.CFG в любом случае будеть указан. Иначе QUIK не сумеет прочитать ключи.
Причем я сегодня еще раз подумал на эту тему — вообще-то даже кратковременное подключение флешки не особо и спасет, те же вирусы записываются на флешку сразу при подключении мнгновенно.

Наверное единственный вариант, каким можно запутать алгоритм вируса — это прописать в QRYPTO.CFG относительный путь, например

pubring=key\pubring.txk
secring=key\secring.txk

при этом запускать QUIK ярлыком, а в ярлыке указать рабочим каталог какой-либо каталог на флешке. Например, пусть флешка у нас подключается диском F:, тогда сложить файлы ключей на флешку в папку f:\qqq\key, а в качестве рабочего каталога для запуска QUIK указать f:\qqq
В этом случае при запуске QUIK будет считывать ключи из нужного каталога добавляя к пути для запуска папку key\ и успешно находить ключи, в то время как вирус без полного сканирования флешки замучается соображать по какому пути лежат ключи, потому как информация об этом по сути лежит в разных не связанных сущностях.

Что касается «кратковременного» подключения флешки — я точно помню, что на форуме был ответ по этому поводу от Алексея Пархомчика, однако касательно восстановления связи после обрыва соединения там речи не было. Вероятно в этот момент ключи снова нужны. И если мы воспользовались методикой относительных путей — то может возникнуть проблема например в том случае, когда во время работы QUIK мы поменяли текущую папку, например, открыв файл QPile-портфеля из другой папки. Но это все надо проверять, мне лень, признаться.

В общем не теряйте по возможности связь с сервером, тогда флешку с ключами действительно можно будет подключать лишь на момент установления соединения. Хранить ключи после чтения в памяти QUIK — это тоже неразумно, согласитесь, их ведь запросто можно оттуда будет умыкнуть вирусу.
avatar

теги блога Мурен(а)

....все тэги



UPDONW
Новый дизайн