Браузеры децентрализованных приложений Эфириума применяют меры для повышения безопасности кошельков

MetaMask среди других децентрализованных браузеров обязался прекратить встраивать Web3-браузеры со 2 ноября из-за недавно обнаруженной проблемы конфиденциальности, что означает, что ему необходим новый postMessage API, согласно публикации Пола Бушона на Medium.

MetaMask - Эфириум-кошелек и децентрализованный браузер, который позволяет пользователям посещать децентрализованные сети, автоматически вводил веб-экземпляры для страниц, вместе с провайдером Эфириума, позволяя децентрализованным приложениям достигать блокчейна, получая доступ к адресу пользователя аккаунта и предлагать транзакции.

Уязвимость не исправлена

Однако нынешнее поколение браузера содержит уязвимость безопасности. Злонамеренные сайты могут сканировать введенные объекты и отслеживать пользователей Эфириума, даже когда расширение выключено. Такие атаки ссылающиеся на "отпечаток пальца", делают пользователей уязвимыми к целому ряду атак.

Например злоумышленники уже могут запускать фишинговые кампании и инвазивную рекламу, используя открытые данные. Как только расширение разблокировано, недобросовестные лица могут видеть Эфириум-адрес жертвы, через который они могут получить доступ к частной информации, такой как история транзакций, баланс и другая информация.

Обновление будет необходимо

Браузеры децентрализованных приложений Эфириума принимают меры для усиления приватности и безопасности пользователей при доступе к блокчейну приложений вроде CryptoKitties.

Браузеры децентрализованных приложений больше автоматически не будут вводить веб-инсталляции или провайдера Эфириума, при загрузке страницы децентрализованные приложения должны будут отправить запрос разрешения провайдера от браузера, который после этого попросит пользователя одобрить или отклонить доступ к блокчейну Эфириума. Провайдер будет введен в страницу, когда доступ будет подтвержден.

Пользователи будут видеть больше кнопок входа в децентрализованных приложениях, одна из которых вызовет поп-ап запрос пользователя на доступ к информации их аккаунта. Подтвержденные сайты будут кешироваться до тех пор, пока список пользователя не будет очищен.

Бушон отметил, что шаблон подтверждения похож на запрос доступа к микрофону или камере пользователя.

Пользователи Эфириума могут отказать в доступе к блокчейну для тех сайтов, которые они считают ненадежными. Таким образом ненадежные сайты не смогут нацелиться на них без их ведома. И наоборот пользователи смогут контролировать собственную приватность путем введения провайдера на страницу после предоставленного разрешения.

Разработчики нуждаются в одобренных провайдерах

Разработчики со своей стороны больше не могут ожидать, что экземпляр Web3 или провайдер Эфириума уже будут в окне, когда страница загрузится. Напротив децентрализованные приложения будет публиковать сообщения, прося провайдера из браузера. Децентрализованные приложения будут вынуждены зарегистрироваться, чтобы им сообщали, когда войдет одобренный пользователем провайдер. Этот провайдер будет знать, состоялся ли вход через window.ethereum и одновременно состоится запрос провайдера.

Для API Web3.js провайдер Эфириума будет введен вслед за одобрением пользователя, а не веб-экземпляра. Децентрализованным приложениям, которым понадобится Web3.js, придется загружать ту версию, которая им нужна, а не версию, которую вводит браузер. Экземпляр Web3 все еще может быть введен через использование флажка Web3 при запросе провайдера.

Не существует никаких гарантий версии Web3, которая будет введена после запроса, а это значит, что этот метод только предложен для удобства в разработке и настройке.

Эти изменения могут стать жестким решением для MetaMask, добавил Бушон, но необходимо защитить пользователей от того, чтобы они становились жертвами нарушения конфиденциальности.

MetaMask считает, что они могут защитить конфиденциальность и безопасность путем внедрения ориентированной на пользователя сети.

Ранее мы сообщали, что Google неожиданно удалил MetaMask из магазина расширений Chrome, никоим образом не комментируя своих действий. Однако те пользователи, которые установили расширение ранее, продолжают без проблем им пользоваться.