Tehisintellekt
Nii Web 1.0 kui ka Web 2.0 puhul muudeti turbemudeleid, et aidata avada täiesti uusi majandusi. Veeb 1.0-s kasutas Netscape esimesena Secure Sockets Layerit (SSL), et pakkuda turvalist sidet kasutajate brauserite ja nende serverite vahel. Usaldusväärsed Web 2.0 vahendajad, nagu Google, Microsoft, Amazon ja sertifitseerimisasutused, mängisid keskset rolli SSL-i järglase transpordikihi turvalisuse (TLS) rakendamisel.
Sama juhtub ka web3-ga. See on peamine põhjus, miks investeerida web3 turvalisuse idufirmadesse eelmisel aastal kasvas see enam kui 10 korda, jõudes enam kui 1 miljardi dollarini.
Web3 edu sõltub innovatsioonist erinevate rakendusarhitektuuride poolt tekitatud uute turvaprobleemide lahendamisel. Web3-s luuakse detsentraliseeritud rakendused või "dAppid" ilma traditsioonilisele rakenduseloogikale ja andmebaasikihtidele, mis on Web 2.0-s olemas, tuginemata; selle asemel kasutatakse loogika ja oleku haldamiseks plokiahelat, võrgusõlmi ja nutikaid lepinguid.
Kasutajad pääsevad endiselt juurde liidesele, mis loob ühenduse nende sõlmedega andmete värskendamiseks, näiteks uue sisu postitamiseks või ostu sooritamiseks. Need tegevused nõuavad, et kasutajad allkirjastaksid tehingud, kasutades oma privaatvõtmeid, mida tavaliselt hallatakse rahakotiga. See mudel on suunatud kasutaja kontrolli ja privaatsuse säilitamisele. Plokiahelas tehtavad tehingud on täielikult läbipaistvad, avalikult juurdepääsetavad ja muutumatud (see tähendab, et neid ei saa muuta).
Nagu igal süsteemil, on sellel disainil turvalisuse kompromissid. Blockchain ei nõua usaldusväärseid tegijaid nagu Web 2.0, kuid turbeprobleemide lahendamiseks on uuendusi keerulisem teha. Kasutajad saavad säilitada kontrolli oma identiteedi üle, kuid rünnakute või oluliste ohtude korral (nt kuidas Web 2.0 pakkujad saavad varastatud raha tagastada või paroole lähtestada) pole vahendajaid. Rahakotid võivad endiselt lekkida tundlikku teavet, näiteks Ethereumi aadressi – see on ikkagi tarkvara, mis pole kunagi täiuslik.
Need mööndused tekitavad olulisi turvaprobleeme, kuid need ei tohiks takistada web3 hoogu ja praktiliselt ei tee seda tõenäoliselt.
Arvestades taas paralleele Web 1.0 ja Web 2.0-ga. SSL/TLS-i algversioonidel oli kriitilisi turvaauke. Varased turvatööriistad olid parimal juhul algelised ja muutusid aja jooksul tugevamaks. Web3 turvafirmad ja projektid nagu Certic, Jõud, Libisema, Ja turvaline2 Need on algselt Web 1.0 ja Web 2.0 rakenduste jaoks välja töötatud koodi skannimise ja rakenduste turbe testimise tööriistade ekvivalendid.
Veeb 2.0 puhul on aga oluline osa turbemudelist seotud reageerimisega. Web3-s, kus tehinguid ei saa pärast täitmist muuta, tuleb lisada mehhanismid, mis kontrollivad, kas loogikaga alustatud tehingud peaksid toimuma. Teisisõnu, turvalisus peab ennetamisel olema erakordselt hea.
See tähendab, et web3 kogukond peab leidma parima viisi süsteemsete nõrkuste tehniliseks kõrvaldamiseks, et vältida uusi ründeliike, mis on suunatud kõigele alates krüptoprimitiividest kuni nutikate lepingute haavatavusteni. Paralleelselt on olemas vähemalt neli algatust, mis edendaksid ennetavat web3 turvamudelit:
Tõeandmete allikas turvaaukude kohta
Teadaolevate web3 haavatavuste ja nõrkuste kohta peab olema tõeallikas. Tänapäeval pakub riiklik haavatavuse andmebaas haavatavuse haldamise programmide põhiandmeid.
Web3 vajab detsentraliseeritud ekvivalenti. Praegu elab puudulik teave laiali sellistes kohtades nagu SWC registreerimine, Rekt, ründeliinid nutikale lepingule y DeFi ähvardused. Kasutajate premeerimisprogrammid selliste vigade tuvastamise eest nagu teie käivitatavad immuunne Nende eesmärk on esile tuua uusi nõrkusi.
Turvaotsuste tegemise standardid
Veeb3 kriitiliste turbekujundusvõimaluste ja üksikute vahejuhtumite otsustusmudel pole praegu teada. Detsentraliseerimine tähendab, et keegi ei oma probleeme ja tagajärjed kasutajatele võivad olla märkimisväärsed. Näiteks IBMi hiljutine Apache Log4j haavatavus on hoiatused jätta turvalisus detsentraliseeritud kogukonna kätesse.
Peab olema suurem selgus selles osas, kuidas detsentraliseeritud autonoomsed organisatsioonid (DAO), turbeeksperdid ja müüjad armastavad. Alkeemia y Vihane ja teised teevad koostööd, et lahendada esilekerkivaid turbeprobleeme. Sellest, kuidas suured avatud lähtekoodiga kogukonnad on kujundanud, on asjakohaseid õppetunde OpenSSF, CNCF nõuanderühmad ja turvaprobleemide lahendamiseks loodud protsessid.
Autentimine ja allkiri
Enamik dAppisid, sealhulgas kõige silmapaistvamad, tänapäeval Ärge autentige ega allkirjastage oma vastuseid API-de kaudu. See tähendab, et kui kasutaja rahakott hangib nendest rakendustest andmeid, tekib lünga kontrollimisel, et vastus pärineb ettenähtud rakendusest ja andmetega pole mingil moel manipuleeritud.
Maailmas, kus rakendused ei kasuta põhilisi turvalisuse parimaid tavasid, jäetakse kasutajatele oma turvalisuse ja usaldusväärsuse asend kindlaks määrata, mis on praktiliselt võimatu. Vähemalt peaksid olema paremad meetodid või tavad kasutajate ohustamiseks.
Lihtsam, kasutaja poolt juhitav võtmehaldus
Krüptograafilised võtmed toetavad kasutajate võimalust veebi3 mudelis tehinguid teha. Krüptograafilisi võtmeid on samuti kurikuulsalt raske korralikult hallata; Võtmehalduse ümber on loodud terved ettevõtted ja need ilmuvad jätkuvalt.
Privaatvõtmete haldamisega kaasnev keerukus ja risk on peamine põhjus, mis sunnib kasutajaid valima hostitud rahakotid mittevakatavate rahakottide asemel. Hostitud rahakottide kasutamisel on aga kaks mõju: need toovad kaasa uusi "vahendajaid", nagu Coinbase, mis kahjustavad web3 täielikult detsentraliseeritud kontseptsiooni; ja piirata kasutajate võimalust kasutada ära kõike, mida web3 pakub. Ideaalis pakub suurem turvauuendus kasutajatele paremat kasutatavust ja kaitset vangistuseta stsenaariumide puhul.
Väärib märkimist, et kaks esimest algatust keskenduvad rohkem inimestele ja protsessidele, kolmas ja neljas algatus nõuavad tehnoloogilisi muudatusi. Uue tehnoloogia, uute protsesside ja suure hulga kasutajate ühtlustamine muudab veebiturvalisuse aspektide tuvastamise keeruliseks3.
Samas on üks julgustavamaid muudatusi see, et web3 turvalisuse innovatsioon toimub avalikult ning kunagi ei tasu alahinnata, kuidas see võib viia loominguliste lahendusteni.
