Trình duyệt Ethereum dApp thực hiện các bước để tăng bảo mật cho Wallet

MetaMask, trong số các trình duyệt dApp khác, đã cam kết ngừng tiêm Web3 vào trình duyệt người dùng vào ngày 2 tháng 11, về vấn đề bảo mật mới phát hiện, nghĩa là nó sẽ yêu cầu API postMessage mới, theo Paul Bouchon viết trên Medium.

MetaMask, ví Ethereum và trình duyệt dApp cho phép người dùng truy cập vào trang web phân tán, đã tự động tiêm một cá thể web cho trang web cùng với nhà cung cấp Ethereum, cho phép dApp truy cập vào blockchain, truy cập địa chỉ tài khoản người dùng và đề xuất giao dịch.

Đã phát hiện ra khoảng cách bảo mật

Tuy nhiên, thế hệ trình duyệt dApp hiện có chứa một sự tiếp xúc riêng tư. Các trang web độc hại có thể quét các đối tượng được tiêm và theo dõi người dùng Ethereum, ngay cả khi tiện ích bị khóa. Một cuộc tấn công như vậy được gọi là “lấy dấu vân tay” và làm cho người dùng dễ bị tấn công bởi nhiều loại tấn công.

Ví dụ: người chơi độc hại đã có thể khởi chạy các chiến dịch lừa đảo và quảng cáo xâm lấn bằng cách sử dụng dữ liệu được hiển thị. Sau khi mở rộng, những người chơi bất chính cũng có thể thấy địa chỉ Ethereum của nạn nhân, từ đó họ có thể truy cập thông tin cá nhân, chẳng hạn như lịch sử giao dịch, số dư và các thông tin khác.

Cập nhật để được yêu cầu

Để bảo vệ sự riêng tư, các trình duyệt dApp bao gồm MetaMask, imToken, Status, và Mist sẽ yêu cầu cập nhật các dApps hiện có.

Các trình duyệt dApp sẽ không còn tự động tiêm một cá thể web hoặc nhà cung cấp Ethereum khi trang tải. Các dApps sẽ phải yêu cầu một nhà cung cấp từ trình duyệt sau đó sẽ yêu cầu người dùng phê duyệt hoặc từ chối truy cập vào blockchain Ethereum. Nhà cung cấp sẽ được đưa vào trang web nếu quyền truy cập được chấp thuận.

Người dùng sẽ bắt đầu thấy nhiều nút “đăng nhập” hơn trên dApps, một trong số đó sẽ làm cho cửa sổ bật lên MetaMask yêu cầu người dùng cấp quyền truy cập trang web cho thông tin tài khoản của họ. Các trang web được phê duyệt sẽ được lưu vào bộ nhớ cache cho đến khi danh sách của người dùng bị xóa.

Mô hình phê duyệt tương tự như yêu cầu quyền truy cập vào micrô hoặc máy ảnh của người dùng, Bouchon lưu ý.

Người dùng Ethereum sẽ có thể từ chối truy cập blockchain cho những trang web mà họ coi là không đáng tin cậy. Bằng cách này, các trang web không mong muốn sẽ không thể nhắm mục tiêu chúng mà họ không biết. Thay vào đó, người dùng sẽ có quyền kiểm soát quyền riêng tư của họ bằng cách đưa nhà cung cấp vào trang web sau khi phê duyệt.

Nhà phát triển cần nhà cung cấp được phê duyệt

Các nhà phát triển, về phần mình, sẽ không còn có thể mong đợi một cá thể Web3 hoặc nhà cung cấp Ethereum đã có mặt trên cửa sổ khi trang tải. Thay vào đó, dApps sẽ đăng một thông báo yêu cầu một nhà cung cấp từ trình duyệt bằng cách đăng một tin nhắn. Các dApps sẽ phải đăng ký để được thông báo khi người dùng phê duyệt nhà cung cấp được tiêm. Các nhà cung cấp sẽ biết nếu tiêm xảy ra thông qua window.ethereum và đồng thời sẽ phải yêu cầu một nhà cung cấp.

Đối với API Web3.js, một nhà cung cấp Ethereum sẽ được tiêm sau sự chấp thuận của người dùng, chứ không phải là một cá thể web. Các dApp cần Web3.js sẽ phải tải phiên bản cụ thể mà chúng cần thay vì phiên bản trình duyệt tiêm. Một cá thể Web3 vẫn có thể được tiêm bằng cách sử dụng cờ Web3 khi yêu cầu một nhà cung cấp.

Không có sự bảo đảm nào về phiên bản Web3 sẽ được tiêm sau khi yêu cầu được đưa ra, nghĩa là phương pháp này chỉ được đề xuất để thuận tiện trong việc gỡ rối và phát triển.

Sự thay đổi này là một quyết định khó khăn đối với MetaMask, Bouchon lưu ý, nhưng nó là cần thiết để ngăn chặn người dùng không bị vi phạm quyền riêng tư.

MetaMask tin rằng nó có thể bảo vệ quyền riêng tư và bảo mật trong việc cung cấp một trang web tập trung vào người dùng.

Nguồn CCN

THEO DÕI CHÚNG TÔI TRÊN FACEBOOK | TELEGRAM | TWITTER