币聪早报:以太坊dApp浏览器采取措施提高钱包安全性

Paul Camechon在Medium中写道:“由于用户隐私问题,MetaMask和其他dApp浏览器已经承诺在11月2日停止向用户浏览器注入Web3,这意味着它将需要一个新的postMessage API。“

MetaMask是一个允许用户访问分布式Web的以太坊钱包和dApp浏览器,它自动为网页注入Web实例以及以太坊提供商,使dApp能够访问区块链,访问用户帐户地址并提出交易。

隐私泄漏可能造成资产丢失

然而,现有的dApp浏览器包含用户隐私。即使扩展程序被锁定,恶意网站也可以扫描注入的对象并跟踪以太坊用户。这种攻击被称为“指纹识别”,使用户容易受到各种攻击。

例如,恶意玩家已经能够使用暴露的数据发起网络钓鱼活动和侵入性广告。一旦扩展解锁,恶意玩家也可以看到受害者的以太坊地址,他们可以从中获取私人信息,例如交易历史,余额和其他信息。

更新是必需的

在访问CryptoKitties等区块链应用程序时,以太坊dApp浏览器正在采取措施提高用户隐私和安全性。| 来源:Axiom Zen

为了保护隐私,dApp浏览器(包括MetaMask,imToken,Status和Mist)将需要更新现有的dApp。

当页面加载时,dApp浏览器将不再自动注入Web实例或以太坊提供程序。dApp必须从浏览器请求提供商,然后要求用户批准或拒绝访问以太坊区块链。如果访问被批准,提供者将被注入网页。

用户将开始在dApp上看到更多“登录”按钮,其中一个将导致MetaMask弹出窗口请求用户授予站点访问其帐户信息的权限。批准的站点将被缓存,直到清除用户的列表。

Bouchon指出,批准模式类似于要求访问用户的麦克风或摄像头。

以太坊用户将能够拒绝他们认为不值得信任的网站的区块链访问权限。这样,不受欢迎的网站将无法在他们不知情的情况下定位他们。相反,用户可以在授予批准后将提供商注入网页,从而控制其隐私。

开发人员需要获得批准的提供商

对于页面加载,开发人员将无法再期望Web3实例或以太坊提供程序已经在窗口上。相反,dApp将通过发布消息从浏览器发布消息,要求提供者。dApp必须注册才能在注入用户批准的提供程序时收到通知。提供者将知道是否通过window.ethereum进行注入,并且同时必须要求提供者。

对于Web3.js API,将在用户批准后注入以太坊提供程序,而不是Web实例。需要Web3.js的dApp必须加载他们需要的特定版本,而不是浏览器注入的版本。在请求提供者时,仍然可以使用Web3标志注入Web3实例。

无法保证在发出请求后将注入Web3版本,这意味着仅为方便调试和开发而建议使用该方法。

Bouchon指出,这一变化对MetaMask来说是一个艰难的决定,但有必要防止用户遭受侵犯隐私的行为。

MetaMask认为它可以在提供以用户为中心的网络时保护隐私和安全。

来源:ccn

编译:bsatoshi

原文链接:https://www.btxiaobai.com/dappbrower-blockchain.html

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏jouypub

Maven引入外部jar的几种方法

简书主页:https://www.jianshu.com/u/756c9c8ae984

27540
来自专栏假装我会写代码

基于有赞云的个人收款即时到帐实现方案

46440
来自专栏区块链入门

【链安科技】无限授权转账漏洞

Lightcoin 合约的 transferFrom() 函数,即授权转账函数,在执行完转账后本该修改授权金额,减去已转出部分金额。但这一步骤中把这授权账户地址...

8020
来自专栏FreeBuf

恶意软件的小伎俩,伪装成Cloudflare页面默默挖矿

FileTour是一种广告软件,通常作为游戏和其他软件的破解或欺骗手段传播。这个软件包是界定于广告软件和PUP以及更危险的计算机感染类型(如密码窃取木马和矿工)...

10330
来自专栏区块链入门

链安科技:智能合约call、delegatecall底层函数使用需谨慎

2018年5月11日ATN Token遭受恶意攻击(详见:https://atn.io/resource/aareport.pdf),攻击者利用DSAuth库与...

11020
来自专栏FreeBuf

高效与争议并存:大规模自动化渗透工具AutoSploit

渗透测试有时其实并不是那么难,现在有很多工具被设计用来简化过程,让渗透测试者们更方便,更省时地达到预期目标。今天要介绍的工具是AutoSploit,顾名思义,这...

33250
来自专栏IT技术精选文摘

分布式系统一致性保障方案总结

引言 在互联网系统中,理想的情况下,肯定是希望系统能够同时满足“一致性”、“可用性”和“分区容忍性”。 但是基于熟悉的CAP定律也好,还是BASE理论, 我们知...

330100
来自专栏FreeBuf

DNS污染事件跟踪:为什么.cn和.org域名逃过一劫

关于中国境内用户访问.com 和.net 域名被解析到65.49.2.178 一事我又有新发现,我发现了为什么.cn 和.org 的域名没有受到影响指向65.4...

72560
来自专栏jouypub

解决微信公众号文章的防盗链

写一个服务,把微信图片下载到本地,然后放在静态文件目录中,修改微信图片中的域名为自己的IP或域名,备注:程序请求时,referer需要时空的

68110
来自专栏SAP最佳业务实践

SAP最佳业务实践:FI–资产会计(162)-19定期处理-AFAB折旧过帐运行

4.7.3 AFAB折旧过帐运行 起初过帐至固定资产会更改资产会计中的计划折旧。然而,资产负债表和损益表的累计折旧科目和折旧科目并不会立即更新。直到执行定期折...

39170

扫码关注云+社区

领取腾讯云代金券