个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
26
4
我知道一堆加密钱包,它们可以在网络浏览器中使用 IFRAME 和类似技术,而无需安装任何插件:
最佳答案
存储隔离
扩展:
基于浏览器扩展的钱包,如 MetaMask使用只有扩展程序可以访问的隔离本地存储,网站无法访问。扩展可以向网站推送数据,也可以由网站通过做消息传递请求来请求数据。私钥存储在沙盒本地存储中,并且从网站向扩展程序发出请求以签署消息。扩展程序将签名的消息返回到网站。
基于网络:
基于浏览器的加密钱包,例如 Authereum , Portis , Torus , 和 Fortmatic ,也可以通过 iframe 使用沙盒本地存储。与 cookie 不同的是,本地存储受到域的严格限制,这意味着如果网站在本地存储中设置了一个值,那么只有该网站可以读取该值;所以 alice.com 无法读取 bob.com 的本地存储。为了沙箱本地存储敏感值,它们被设置在受控子域下,例如 x.wallet.com,因为没有其他网站能够读取本地存储。此子域不包含仅用于 iframe 通信的 UI。这些钱包的 web3 提供商在网站上加载一个隐藏的 iframe,用于与包含沙盒存储的子域进行通信;例如爱丽丝在 dapp.com 上使用 Authereum,Authereum sdk 使用 iframe 连接到 x.authereum.org 并发送 postMessage从网站向 iframe 请求签署消息。这限制了网站读取私钥等敏感数据,并且只允许网站发送类似于钱包扩展工作方式的签名请求。
并非所有基于网络的钱包都有沙盒本地存储,因此您应该避免使用它们,因为任何网站都可以读取存储的敏感数据,但此处提到的钱包在这方面是安全的。
防范网络钓鱼攻击
当用户被诱使认为他们在使用已知网站,而实际上使用的是类似于合法网站的恶意网站时,就会发生网络钓鱼攻击。 Authereum、Portis 和 Torus 是基于用户名和密码的登录解决方案,因此它们会在新的弹出窗口或重定向中打开登录身份验证窗口。这允许用户验证网站域的合法性。 Google auth 也采用这种模式。除了在登录时打开一个新窗口供用户验证外,一些基于 Web 的钱包提供商还在签署消息和交易时打开一个新窗口以验证请求。
当网站通过网站上的 iframe 加载并且网站在 iframe 网站顶部覆盖不同的 UI 并将指针事件设置为无,然后诱使用户输入信息或点击覆盖的 UI 上的按钮时,就会发生点击劫持但他们实际上是点击 iframe 网站上的一个按钮。这是危险的,因为 iframe 网站上的操作可能类似于向攻击者的钱包发送资金。
为了完全防止钱包站点被加载到 iframe 中,钱包站点所要做的就是设置 HTTP header X-Frame-Options: DENY ,这就是 Authereum 和 Portis 正在做的事情,因此他们可以免受这些攻击。
信任内容脚本
使用源查看器插件很容易验证浏览器扩展源代码,但为了避免扩展自动更新恶意代码,用户可以手动安装扩展,通过从 github 获取源代码来将其锁定到一个版本,如果它是开源或从下载源脚本。
由于使用基于 Web 的钱包,钱包站点所有者控制内容脚本,因此您必须相信管理敏感 key 数据的内容脚本不会是恶意的,因为钱包站点所有者或访问钱包站点的攻击者可以在任何时候都用错误的代码更新网站源代码。
要信任内容脚本,钱包站点可以托管在 IPFS因为网址是内容哈希,这意味着您可以相信它不会改变。 Authereum 是一款已经通过访问 authereum.eth 提供此功能的钱包。或通过解决 contenthash他们 ENS 名称的属性。
便利
基于 Web 的钱包是可移植的,因为您可以在任何操作系统、浏览器、桌面或移动设备上使用相同的钱包,而使用浏览器扩展程序时,您会陷入使用扩展程序的环境中。扩展非常不方便,但提供了更多的存储隔离保证。然而,使用基于合约的账户,可以在钱包方面提供更多的安全功能。
合约账户
MetaMask、Portis、Torus 和 Fortmatic 都是基于外部拥有的帐户 (EOA),这意味着资金由一个 key 存储和管理。如果攻击者可以访问签名 key ,那么他们也可以访问存储在该 key 中的资金。
基于合约的账户(CBA),例如 Authereum,提供了更多的安全保障,因为每个账户合约可以有多个 key 来管理它,并且每个 key 也可能对其可以执行的操作具有有限的权限。
合约账户的优点:
关于security - 我们可以认为基于网络的非插件加密钱包是安全的吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/59165184/
26
4
0
我正在开发事件应用程序,在该应用程序中,一旦用户完成预订事件门票,我们必须将该通行证添加到 Apple 钱包。 我正在按照以下链接设计我的通行证,https://developer.apple.com
我开发的应用程序收到来自苹果钱包的警报:“某些通行证接收太多更新,这可能会影响电池生命周期。***通行证的自动更新将被禁用。如果您想要自动更新,请选择重新启用接着说。”我的钱包里只有该应用程序的 2
我正在尝试建立一个网络服务来将折扣信息推送给最终用户。我的问题是,我知道我们可以通过我自己的应用推送优惠券,但是有什么方法可以避免最终用户安装我们的应用吗?有什么可能的方法,我们只使用网络服务从我们的
我是 java card 初学者,从示例中复制了下面的代码。不知何故,我已经能够了解部分代码的工作原理。但是还是对下面的内容感到困惑。 .ownerpin 的工作方式以及设置 pin 的方式和时间.如
我今天买了几个 iBeacon,开始玩 ios SDK。我在一个苹果论坛上读到,我们可以构建并向用户分发 Apple Passbook 通行证,它可以在检测到特定 iBeacon 时向用户显示通知。(
如何分别指定与Coinbase Wallet和Metamask的连接? 现在,当使用 window.ethereum.enable() 时,Metamask 和 Coinbase 钱包扩展弹出窗口。我
我需要为电子商务应用程序集成 Paypal 钱包。有什么方法可以使用java来创建吗?您能否分享任何 api 链接和集成步骤。谢谢。 最佳答案 您必须更具体地说明“paypal 钱包”的含义 - 但如
让 JDBC 瘦客户端识别我的 Oracle 钱包让我遇到了最困难的时期。在 SQLPlus、SQLDeveloper 甚至 .NET 应用程序中使用相同的钱包没有问题。我们将其用作 SSO 机制,即
我目前正在研究 wallt/passbook 的功能,有一件事让我苦恼:“通知”。 有没有什么方法可以使用存折实时推送消息到锁屏?如果我检查已安装的多个通行证(单击信息图标),它会建议打开实时更新和通
关闭。这个问题需要更多focused .它目前不接受答案。 想改进这个问题吗? 更新问题,使其只关注一个问题 editing this post . 关闭 7 年前。 Improve this qu
已结束。此问题不符合 Stack Overflow guidelines .它目前不接受答案。 我们不允许提出有关书籍、工具、软件库等方面的建议的问题。您可以编辑问题,以便用事实和引用来回答它。 关闭
我正在研究Android Google wallet API,所以在这里我想知道这种流程/过程是否可行。 我还想知道另外 1 件事:在我的代码中在哪里设置商家帐户 ID? 我浏览了钱包文档和示例应用程
我正在尝试实现我自己的 NFT 合约,following this tutorial on NEAR , 和 Non-Fungible Token (NEP-171) specifications .
我正在使用命令行运行程序和 Web 应用程序进行 Spring Boot。两个应用都需要用oracle钱包实现,所以我实现了oracle钱包。命令行运行程序能够使用使用 oracle 数据源的 spr
有 2 种 URL 语法,旧语法仅适用于 SID,新语法适用于 Oracle 服务名称。 旧语法 jdbc:oracle:thin:@[HOST][:PORT]:SID 新语法 jdbc:oracle
我有一个使用 Xamarin.Forms 面向 Android 和 iOS 平台的 Xamarin 项目。我进行了搜索,但找不到答案或任何相关信息。 有什么方法可以将 Google 钱包/Androi
我是一名优秀的程序员,十分优秀!