摘要:本文今天就浅尝辄止的做个和的安全性对比首页登陆。而则不必要求服务端是可信任的,他传输的只是公钥,是安全可靠的。本系列文章只是进行技术交流,不可用做其它用途,且须经本人同意,方可转载。
在币圈,听到对数字货币的质疑之声从来没少过。为什么有人会质疑呢?他们列出了很多理由(以下四点内容摘自网络):
数字货币是依附于网络的,而中国并没有独立自主的网络技术,容易被敌对势力利用数字货币损害中国利益;
网络黑客会利用相关技术从事非法活动,盗取国家和他人财产;
如果出现网络故障,会因为不能及时交易影响经济活动的正常开展;
有一部分习惯使用现金的尤其是老年人不适应……等等,很多理由。
枚举的理由虽然不够全,但也能从中看到一些问题,即每个参与者都很关心数字币技术,而技术中的安全问题从来都是币圈的头条新闻,大到门头沟事件,小到最近火的不得了的bitfinex事件。本文今天就浅尝辄止的做个Asch和Liks的安全性对比--首页登陆。
1.技术背景
Asch和Liks都是踩着Crypti的肩膀发展而来,有竞争才能有进步,因此二者在同一功能上技术实现细节也有很大不同。普通用户在登陆钱包时可以使用web页面、手机app等,但无论使用哪种方式登陆,他们都要连接到一个拥有完整区块链数据的Server端,当你输入密码按确定键之后,密码会通过http协议的post请求传输到Server端进行认证。下图是一个简单的实现描述:
2.Lisk的Web钱包登陆过程解析
本次Lisk测试采用的是最新版本v0.3.2(lisk-main,非测试连),输入密码并点击“登陆”按钮,然后通过浏览器查看其post请求,发现lisk在登陆过程中未对密码进行任何处理,直接将其发送到服务器,如下图所示,可以看到用户输入的密码为“absorb gun bread exist just stand file pipe minimum caution margin clap”
3.Asch的Web钱包登陆过程解析
本次Asch测试采用的版本是最新的v0.9.5(test-net),当用户点击“登陆”后,asch web页面会对密码进行加密处理,然后将加密后的数据发送到服务器,而非直接发送密码。
4.结论
1.Asch比Lisk更安全
Lisk明文密码直接通过Internet传输,无疑等于直接裸奔!而Asch的密码是经过客户端处理过后以公钥形式通过Internet传输,私钥是存储在客户端本地的,安全性远大于Lisk。
2.Lisk钱包被盗风险极大
虽然二者都是采用明文方式进行post提交,但当网络不安全被人截取数据包时(如抓包工具tcpdump、wireshark,连接到不安全的wifi热点等),攻击人可以直接获取到Lisk用户的私钥(可以执行任何操作,如转账);同样的操作却只能获取到Asch用户的公钥(只能查看,不能执行其它操作,因为没有私钥来签名)
3.Lisk的服务端必须是可信任的
因为你将密码直接发送到Lisk服务器,当服务端不可信任时,他可以通过修改Lisk程序代码,然后将接收到的密码打印到终端或者写入文件中。而Asch则不必要求服务端是可信任的,他传输的只是公钥,是安全可靠的。
本系列文章只是进行技术交流,不可用做其它用途,且须经本人同意,方可转载。永久链接:https://www.zybuluo.com/zhenx...
关于侧链和区块链开发的问题,欢迎加群:485979564,一起讨论交流
文章版权归作者所有,未经允许请勿转载,若此文章存在违规行为,您可以联系管理员删除。
转载请注明本文地址:https://www.ucloud.cn/yun/23928.html
摘要:本文今天就浅尝辄止的做个和的安全性对比首页登陆。而则不必要求服务端是可信任的,他传输的只是公钥,是安全可靠的。本系列文章只是进行技术交流,不可用做其它用途,且须经本人同意,方可转载。 在币圈,听到对数字货币的质疑之声从来没少过。为什么有人会质疑呢?他们列出了很多理由(以下四点内容摘自网络): 数字货币是依附于网络的,而中国并没有独立自主的网络技术,容易被敌对势力利用数字货币损害中国利益...
摘要:事实上,已经成功了一半目前在区块链领域融资金额排行第二,仅次于以太坊。以上这些,就是我们经过深思熟虑后,虽有以太坊等珠玉在前,但我们依然要做一个同类型的产品的原因。 0 前言 首先要声明一点,我们和我们的一些朋友都是lisk的投资人和支持者,我们也相信lisk会成功。 事实上,lisk已经成功了一半,目前在区块链领域融资金额排行第二,仅次于以太坊。 那为什么我们还要做一个类似的Asch...
摘要:事实上,已经成功了一半目前在区块链领域融资金额排行第二,仅次于以太坊。以上这些,就是我们经过深思熟虑后,虽有以太坊等珠玉在前,但我们依然要做一个同类型的产品的原因。 0 前言 首先要声明一点,我们和我们的一些朋友都是lisk的投资人和支持者,我们也相信lisk会成功。 事实上,lisk已经成功了一半,目前在区块链领域融资金额排行第二,仅次于以太坊。 那为什么我们还要做一个类似的Asch...
摘要:文件名标识执行某个具有执行权限的文件脚本程序等,是执行时的参数,其它参数只能通过查看脚本内容来查看,估计官方后续会继续优化改进。日志相关在启动后需要查看日志来检查状态,请参考查看文件的末尾几行。 本文针对的人群:会用putty、SecureCRT、xhsell等工具ssh连接到自己的asch服务器上,但不怎么会执行命令的人。高手请绕路~本文主要围绕受托人搭建、维护涉及相关的内容进行Li...
摘要:从外因的角度来说,系统应该能够容忍黑客攻击受托人作弊的情况。这里的黑客攻击不是说,造成的后果最多是部分服务器宕机,我们已经归到内因里去了,这里的黑客攻击主要是指通过入侵拿到部分受托人密钥并获取权限,然后利用这些权限获利。 0 前言 我曾分析了DPOS算法的漏洞并且模拟了一个简单的攻击的方法,然后实现了一个简化的PBFT算法模型试图去修复该漏洞,并且对比了效果。 随后在正式的产品中实现了...
阅读 3156·2021-09-22 15:01
阅读 411·2019-08-30 11:11
阅读 774·2019-08-29 16:17
阅读 1084·2019-08-29 12:23
阅读 1850·2019-08-26 11:48
阅读 3065·2019-08-26 11:48
阅读 1280·2019-08-26 10:33
阅读 1768·2019-08-26 10:30
