个人中心
gpt4 book ai didi

security - 我们可以认为基于网络的非插件加密钱包是安全的吗?

转载 作者:行者123 更新时间:2023-12-02 18:24:58 26 4
gpt4 key购买 nike

我知道一堆加密钱包,它们可以在网络浏览器中使用 IFRAME 和类似技术,而无需安装任何插件:

  • https://authereum.org
  • https://www.portis.io
  • https://tor.us
  • https://fortmatic.com

    • 但是他们是否受到网络钓鱼 Dapp 攻击的保护?如果 Dapp 想要欺骗你并隐藏实际发送的 ETH 数量或以任何其他方式,在网络浏览器中修改钱包 UI?

    最佳答案

    存储隔离

    扩展:

    基于浏览器扩展的钱包,如 MetaMask使用只有扩展程序可以访问的隔离本地存储,网站无法访问。扩展可以向网站推送数据,也可以由网站通过做消息传递请求来请求数据。私钥存储在沙盒本地存储中,并且从网站向扩展程序发出请求以签署消息。扩展程序将签名的消息返回到网站。

    基于网络:

    基于浏览器的加密钱包,例如 Authereum , Portis , Torus , 和 Fortmatic ,也可以通过 iframe 使用沙盒本地存储。与 cookie 不同的是,本地存储受到域的严格限制,这意味着如果网站在本地存储中设置了一个值,那么只有该网站可以读取该值;所以 alice.com 无法读取 bob.com 的本地存储。为了沙箱本地存储敏感值,它们被设置在受控子域下,例如 x.wallet.com,因为没有其他网站能够读取本地存储。此子域不包含仅用于 iframe 通信的 UI。这些钱包的 web3 提供商在网站上加载一个隐藏的 iframe,用于与包含沙盒存储的子域进行通信;例如爱丽丝在 dapp.com 上使用 Authereum,Authereum sdk 使用 iframe 连接到 x.authereum.org 并发送 postMessage从网站向 iframe 请求签署消息。这限制了网站读取私钥等敏感数据,并且只允许网站发送类似于钱包扩展工作方式的签名请求。

    并非所有基于网络的钱包都有沙盒本地存储,因此您应该避免使用它们,因为任何网站都可以读取存储的敏感数据,但此处提到的钱包在这方面是安全的。

    防范网络钓鱼攻击

    当用户被诱使认为他们在使用已知网站,而实际上使用的是类似于合法网站的恶意网站时,就会发生网络钓鱼攻击。 Authereum、Portis 和 Torus 是基于用户名和密码的登录解决方案,因此它们会在新的弹出窗口或重定向中打开登录身份验证窗口。这允许用户验证网站域的合法性。 Google auth 也采用这种模式。除了在登录时打开一个新窗口供用户验证外,一些基于 Web 的钱包提供商还在签署消息和交易时打开一个新窗口以验证请求。

    当网站通过网站上的 iframe 加载并且网站在 iframe 网站顶部覆盖不同的 UI 并将指针事件设置为无,然后诱使用户输入信息或点击覆盖的 UI 上的按钮时,就会发生点击劫持但他们实际上是点击 iframe 网站上的一个按钮。这是危险的,因为 iframe 网站上的操作可能类似于向攻击者的钱包发送资金。

    为了完全防止钱包站点被加载到 iframe 中,钱包站点所要做的就是设置 HTTP header X-Frame-Options: DENY ,这就是 Authereum 和 Portis 正在做的事情,因此他们可以免受这些攻击。

    信任内容脚本

    使用源查看器插件很容易验证浏览器扩展源代码,但为了避免扩展自动更新恶意代码,用户可以手动安装扩展,通过从 github 获取源代码来将其锁定到一个版本,如果它是开源或从下载源脚本。

    由于使用基于 Web 的钱包,钱包站点所有者控制内容脚本,因此您必须相信管理敏感 key 数据的内容脚本不会是恶意的,因为钱包站点所有者或访问钱包站点的攻击者可以在任何时候都用错误的代码更新网站源代码。

    要信任内容脚本,钱包站点可以托管在 IPFS因为网址是内容哈希,这意味着您可以相信它不会改变。 Authereum 是一款已经通过访问 authereum.eth 提供此功能的钱包。或通过解决 contenthash他们 ENS 名称的属性。

    便利

    基于 Web 的钱包是可移植的,因为您可以在任何操作系统、浏览器、桌面或移动设备上使用相同的钱包,而使用浏览器扩展程序时,您会陷入使用扩展程序的环境中。扩展非常不方便,但提供了更多的存储隔离保证。然而,使用基于合约的账户,可以在钱包方面提供更多的安全功能。

    合约账户

    MetaMask、Portis、Torus 和 Fortmatic 都是基于外部拥有的帐户 (EOA),这意味着资金由一个 key 存储和管理。如果攻击者可以访问签名 key ,那么他们也可以访问存储在该 key 中的资金。

    基于合约的账户(CBA),例如 Authereum,提供了更多的安全保障,因为每个账户合约可以有多个 key 来管理它,并且每个 key 也可能对其可以执行的操作具有有限的权限。

    合约账户的优点:

  • 资金不存储在单个 key 上
  • 您可以循环浏览管理 key
  • 帐户恢复,以防您的管理 key 被盗或丢失
  • 转账和提现限额
  • 键的访问控制,这意味着您可以限制键可以调用的方法

    • 关于security - 我们可以认为基于网络的非插件加密钱包是安全的吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/59165184/

    26 4 0
    文章推荐: haskell - 为什么我的 Haskell 程序使用 `par` 没有产生任何 Spark ?
    文章推荐: javascript - 使用 knockout.js 更新所选内容中的 div
    文章推荐: javascript - 当我在浏览器中点击刷新时,我丢失了 jquery 编程
    文章推荐: fortran - 用户定义类型作为基本子例程的参数?
    行者123
    个人简介

    我是一名优秀的程序员,十分优秀!

    滴滴打车优惠券免费领取
    滴滴打车优惠券
    全站热门文章
    Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
    广告合作:1813099741@qq.com 6ren.com