Los navegadores dApp de Ethereum toman medidas para aumentar la seguridad de Wallet

Views: 658

MetaMask , entre otros navegadores dApp , se ha comprometido a dejar de inyectar Web3 en los navegadores de usuarios el 2 de noviembre, debido a un problema de privacidad recientemente descubierto, lo que significa que requerirá una nueva API postMessage, según Paul Bouchon, escribiendo en Medium .

MetaMask, un monedero Ethereum y navegador dApp que permite a los usuarios visitar la web distribuida, ha inyectado automáticamente una instancia web para la página web junto con unproveedor Ethereum , permitiendo que dApp llegue a la cadena de bloques, acceda a direcciones de cuentas de usuario y proponga transacciones.

Brecha de privacidad descubierta

La generación existente de navegadores dApp, sin embargo, contiene una exposición de privacidad. Los sitios maliciosos pueden escanear los objetos inyectados y rastrear a los usuarios de Ethereum, incluso cuando la extensión está bloqueada. Tal ataque se conoce como “huella digital” y hace que los usuarios sean vulnerables a una variedad de ataques.

Por ejemplo, los jugadores malintencionados ya han podido lanzar campañas de phishing y publicidad invasiva utilizando los datos expuestos. Una vez que la extensión se desbloquea, los jugadores nefastos también pueden ver la dirección de Ethereum de la víctima, desde la cual pueden obtener acceso a información privada, como el historial de transacciones, el saldo y otra información.

Actualizaciones a ser requeridas

criptokitties
Los navegadores dApp de Ethereum están tomando medidas para aumentar la privacidad y la seguridad del usuario al acceder a las aplicaciones blockchain como CryptoKitties. | Fuente: Axiom Zen

Para proteger la privacidad, los navegadores dApp que incluyen MetaMask, imToken , Status y Mistrequerirán actualizaciones para dApps existentes.

Los navegadores dApp ya no inyectarán automáticamente una instancia web o proveedor de Ethereum cuando se cargue la página. Las dApps tendrán que solicitar un proveedor del navegador que luego le pedirá al usuario que apruebe o desapruebe el acceso a la cadena de bloques de Ethereum. El proveedor se inyectará en la página web si se aprueba el acceso.

Los usuarios comenzarán a ver más botones de “inicio de sesión” en dApps, uno de los cuales generará una ventana emergente de MetaMask solicitando al usuario que otorgue acceso al sitio a la información de su cuenta. Los sitios que están aprobados se almacenarán en caché hasta que se borre la lista del usuario.

El patrón de aprobación es similar a pedir acceso al micrófono o la cámara de un usuario, señaló Bouchon.

Los usuarios de Ethereum podrán denegar el acceso a la cadena de bloques para aquellos sitios web que consideren poco confiables. De esta forma, los sitios web no deseados no podrán dirigirse a ellos sin su conocimiento. En cambio, los usuarios tendrán control sobre su privacidad inyectando al proveedor en una página web después de otorgar la aprobación.

Lea también: Google elimina MetaMask de la tienda de extensiones de Chrome

Desarrolladores necesitarán proveedores aprobados

Los desarrolladores, por su parte, ya no podrán esperar que una instancia de Web3 o un proveedor de Ethereum ya estén en la ventana cuando se carga una página. En cambio, dApps publicará un mensaje solicitando un proveedor del navegador publicando un mensaje. Las dApps deberán registrarse para recibir una notificación cuando el proveedor aprobado por el usuario sea inyectado. El proveedor sabrá si la inyección se produce a través de window.ethereum, y simultáneamente tendrá que solicitar un proveedor.

Para la API Web3.js, un proveedor de Ethereum se inyectará después de la aprobación del usuario, no una instancia web. Las dApps que necesitan Web3.js tendrán que cargar la versión particular que necesitan en lugar de una versión que el navegador inyecte. Aún se puede inyectar una instancia de Web3 utilizando un indicador Web3 cuando se solicita un proveedor.

No hay garantía sobre la versión de Web3 que se inyectará después de que se realiza la solicitud, lo que significa que el método solo se sugiere por conveniencia en la depuración y el desarrollo.

El cambio ha sido una decisión difícil para MetaMask, señaló Bouchon, pero es necesario evitar que los usuarios estén sujetos a violaciones de la privacidad.

MetaMask cree que puede proteger la privacidad y la seguridad al proporcionar una web centrada en el usuario.

Imagen destacada de Shutterstock