Bezpieczna gra

[yaardai]

Witam

Zamierzam stworzyć (lub zlecić wykonanie) prostej gry (lekko hazardowej) opartej o BTC. Wiem, że na forum są osoby, które dużo wiedzą na temat bezpieczeństwa, ale też zależy mi na opinii innych osób.

Założenia do gry:

1. Udział w grze wiąże się z przesłaniem do serwisu pod "swój" indywidualny adres dowolnej kwoty BTC.
2. Udział w grze nie wymaga logowania, a jedynie podania adresu zwrotnego do wypłaty wygranej.
3. Przesłanie BTC do serwisu nie wiąże się z wzięciem udziału w grze. W grze należy zdecydować na co przeznacza się część lub całość przesłanych BTC.
4. Niemożliwa jest zmiana adresu zwrotnego do wypłaty wygranej.
5. Gra nie musi się skończyć w momencie wzięcia udziału w niej (nie następuje wygrana, ale też gra nie kończy się przegraną).
6. Gra jest jak najbardziej anonimowa.

Teraz najważniejsze kwestie, które chciałbym rozstrzygnąć:
A. Czy przy tak opisanej grze (patrz wyżej) odpowiednikiem loginu do serwisu mógłby być "adres zwrotny dla wygranej"? Nie występują hasła, piny, itp.

B. W związku z tym, że gra może mieć różne tempo - od bardzo szybkiego do dość wolnego, czy zdarzyła wam się sytuacja, że ktoś próbował was oszukać kiedy było już "1 potwierdzenie"? Lub czy spotkaliście się gdzieś z opisem skutecznego wprowadzenia w błąd drugiej strony transakcji, które skutkowało cofnięciem środków posiadających "1 potwierdzenie"?

[phoebe]

A. NIE
B. NIE

Założenie nr 2 jest błędne.

[yaardai]

A. NIE
B. NIE

Założenie nr 2 jest błędne.

Możesz rozwinąć dlaczego wg. ciebie założenie 2 jest błędne?
Ja to widzę w ten sposób:
- użytkownik podaje adres zwrotny (nigdy wcześniej nie wykorzystywany)
- od serwisu dostaje adres (tylko dla siebie) na który ma przesłać dowolną kwotę.

[Mars2022]

Co do B to nie jest problemem, 1 potwierdzenie jest wystarczająco bezpieczne dla małych i średnich kwot.

Natomiast A byłoby chyba większym utrudnieniem niż ułatwieniem, wbrew pozorom, chociaż to zależy też od tego jak sama gra wygląda. Dopóki gracz nie zdecyduje się na wypłatę to nieużywany wcześniej adres może służyć jako login i hasło (a w bazie danych serwisu jest skojarzony z odpowiednim adresem do wpłat), ale problem pojawia się w momencie gdy ktoś wygraną chce wycofać na swoje konto. Wtedy musi wypłacić całość, bo w przeciwnym razie ryzykuje, że ktoś podając się za niego może mu narobić problemów. Ponieważ tranzakcje są ogólnie dostępne to raz użyty adres odbiorczy staje się łatwym celem. Wprawdzie napastnik nie może przelać pieniędzy na jakiś swój adres, ale może wejść do gry ze swoim adresem i korzystając ze zhakowanego konta celowo przegrać na rzecz swojego prawdziwego konta. Więc zostają moim zdaniem dwa rozwiązania:
1. Adres zwrotny jest loginem, ale oprócz tego jeszcze dodatkowo wprowadzić jakieś hasło
2. Wypłata musiałaby być każdorazowo w całości, a gracz zobligowany do utworzenia nowego konta po każdej wypłacie.

[yaardai]

Więc zostają moim zdaniem dwa rozwiązania:
1. Adres zwrotny jest loginem, ale oprócz tego jeszcze dodatkowo wprowadzić jakieś hasło
2. Wypłata musiałaby być każdorazowo w całości, a gracz zobligowany do utworzenia nowego konta po każdej wypłacie.

Sama wygrana nie będzie powodowała wypłaty, więc adres zwrotny nie zostanie ujawniony. Dopóki gracz nie wypłaci (będzie mógł tylko całość), to nic złego nie powinno się stać. Czyli 2 rozwiązanie jest jak najbardziej możliwe i powinno być akceptowalne.

Zastąpienie standardowego loginu i hasła (ewentualnie dodatkowo maila) przez adres zwrotny (użyty tylko raz) nikomu innemu nieznany powinno być rozsądnym rozwiązaniem i spełnia mój główny cel: ANONIMOWOŚĆ.