ON.LIVE：用户界面保护，为用户提供全面的交易保障

作者：佚名 翻译：Lance

网络安全是重中之重

网络犯罪一直居高不下。系统上可能发生的攻击数量仍在上升，而攻击本身正变得越来越复杂。今天的互联网面临着来自黑客团队、黑客团伙、恶意竞争对手、甚至来自国家或黑客行为者的无情攻击。网络服务中的数据泄露正在加剧，数据成功离开了企业的服务器，并在粉碎企业的声誉。

如果涉及任何形式的货币转移服务，则会面临更大的危险，因为数据泄露几乎总是与身份盗窃联系在一起，而且经常伴随着客户资金流失。事实上，许多企业仍然没有投资适当的保护措施并继续犯下简单的错误，这表明尽管网络安全问题成为优先事项，但在许多情况下，这些问题尚未得到妥善解决。

解决网络风险需要下意识的努力。公司需要知道漏洞的来源以及它们如何被利用。尽管最近的高调违规行为有助于提高公众对攻击及其性质的理解，但一些攻击媒介几乎不为世人所了解。经常被忽略的区域是用户界面保护。用户界面保护是指组织必须采取的安全措施，以抵御“浏览器”中发生的攻击。中间人与在浏览器中操作的人就是这种网络攻击的例子，如果未被发现，可能会造成大范围的经济损失，特别是在涉及任何类型资金转移的网站的情况下，经济对黑客的刺激很大。

尽管研究表明至少有10％的网络攻击集中在这个领域，但目前的估计发现，高达80％的组织没有采取行动来保护自己。

网络犯罪分子将目光投在了UI上

未受保护的用户界面可为网络犯罪分子提供方便的访问途径，并能让他们渗透网络浏览器以完全隐蔽地修改网页、交易内容或插入其他交易。这种内容操作形式可能很严重。尽管许多公司已经了解到了钓鱼诈骗，其中通过电子邮件中的链接或其他通知将毫无戒心的用户引导至虚假网站，但当受害者将URL输入到网站时，会发生独立的“浏览器内”攻击。从表面上看，用户交互和交易正常进行，并且具有预期的提示和输入密码要求，但黑客正在监视、修改和利用信息以获取个人或经济收益，损害了用户和组织的利益。

Codesealer和On.Live - 解决的案例

On.Live项目涉及用户执行的大部分操作时的资金转移，根据它的定义，几乎所有在该平台上运行的由业务提供的服务均已支付，最终用户安全性是最重要的方面之一，不应该被忽视。为了保护On.Live的用户和他们的资金，On.Live决定采用CodeSealer提供的用户界面保护解决方案。CodeSealer解决方案专注于消除浏览器中的漏洞。它被Gartner公认为用于用户界面保护的金融欺诈检测策略。CodeSealer完全可以提供针对基于用户界面的网络攻击的保护，这对于On.Live和当今环境中的任何其他业务都是必要的。CodeSealer对最终用户来说是完全不可见的。客户不需要安装。但On.Live用户将享受额外的安全层。由于在平台服务器端实施的解决方案适用于各种应用程序并防范攻击，对我们的客户可能具有破坏性，即使他们的设备感染了恶意软件。CodeSealer适用于任何操作系统上的每个浏览器，包括用HTML和WebView构建的智能手机应用程序。

技术细节

从更具技术性的角度来看CodeSealer提供即时覆盖并且不需要终端用户安装。在WSF中，Web会话防火墙保护用户会话实施多项高级技术，防止任何未经授权的人员通过中间人攻击对服务器上的数据进行操作，但也防止可能源自客户端浏览器上不需要的附加组件或脚本的任何恶意操作侧。产品由多个逻辑模块组成，每个逻辑模块都增加了另一层保护，并协同工作，提供几乎无法渗透的强大安全套件。

内置的bootloader使用专用会话密钥，动态混淆和其他加密层来保护会话。

动态混淆隐藏了代码模式、语句和函数，使攻击者无法追踪和洞察。所有这些都不会在加密密钥更改之间给出足够的时间来破坏代码。

标准HTTPS加密在服务器端的HTTPS网关与客户端浏览器中的SSL / TLS终止点之间提供安全性。

Web会话防火墙更进一步。它在HTTPS层内增加了一层额外的加密和认证。WSF加密保护从客户浏览器中运行的服务器到WSF客户端的连接。

此外，对于会话加密，WSF会加密网站上的所有URL，以防止SQL注入攻击和通过URL参数进行跨站点脚本，不仅隐藏地址，而且还隐藏网站的服务器端结构。工作防火墙通过在客户端存储并执行所有网站的JavaScript代码来隐藏应用程序代码，从而分析代码非常繁琐和低效的过程。

增加了网页封装功能，可防止未知的攻击媒介以及任何通过重新检查发送页面并使用浏览器中的WSF客户端发回数据的任何页面操作。只有输入表格等用户输入的有效数据才可以作为发送和接收网页代码比较偏差的依据。

Codesealer的WSF还提供详细的取证报告和处理，以及管理员可定制的行为，以防检测到差异和攻击可能性。虽然没有解决方案可以保护100％，但混淆和密封的会话将显着提高安全性，网络犯罪分子将不断面对更改和隐藏的应用程序代码，使其几乎不可能再利用恶意攻击。

这种方法的结果是可以建立客户浏览器与在线系统之间的安全会话。它可用于持续监视显示给用户的网页，并对未知和恶意代码作出反应。

CodeSealer Web会话防火墙的设计涵盖了零日漏洞甚至未知和未定义的攻击媒介。GDPR对于处理欧盟消费者数据的所有业务至关重要，这对于今天和未来都很重要。目前在On.Live平台上正在实施的CodeSealer WSF解决方案比市面上的其他产品更加现代和复杂。他们的团队非常重视安全。通过在平台上实施CodeSealer WSF，我们正在实施金融行业的脚步超过3年，每天处理超过3000万笔交易。

浏览网站：

https://on.live/

观看INTRO 视频：

https://youtu.be/2TjrMS07trY

观看平台演示视频：

https://youtu.be/3BV3YwprKc

参与评论，关注公告：

https://t.me/OnLive

查看ONL token的安全性：

https://v11.on.live/

阅读白皮书：

https://on.live/documents/OnLive_Whitepaper.pdf

联系方式：

【声明：文章为作者独立观点，非投资，交易或赌博建议，不代表NABF官方立场。欢迎转载，转载请务必注明来源。如有不当之处请多多指教！】