沒有https網站安全嗎?
作者:王建財,10 November 2021
在 FreeCity 頭版,我每天都更新當天的新聞摘要。yawti .com 是我架設的旮旯Gateway服務。很多區塊鏈號稱 Decentralized ,其實用戶大多數依舊是依賴 centralized 的Gateway服務。只可以通過gateway會造成機制有 single point of failure, 因此只通過Gateway維持服務的屎鏈不算是區塊鏈,凡是區塊鏈必定有localhost選擇,Gateway被阻攔還有localhost管道。
以上這一要點我通常不跟任何"行內人"爭論,"If you don't believe me or don't get it, I don't have time to try to convince you, sorry." Satoshi 曾經這樣回應 Bytemaster。
yawti .com 暫時沒有 https ,在 FB 分享會引起信任度的質疑,這是正常的,區塊鏈本身是 trustless,安全關鍵在localhost不必https。通過Gateway單向唯讀,所有網安考量一般瀏覽器都都會看顧好,唯讀需要的信任主要是在內容,責任主要落在內容發布者,如果通過Gateway那麼Gateway服務者也沾上一點點服務性質的責任。
FB 戶口被入侵時有所聞,受害者朋友會收到很多 spam link,如果 link 有危險程式,瀏覽器或手機OS軟件會馬上應對或警告,就算是https也是信任某些機構,未必是絕對安全。瀏覽 yawti .com唯讀內容絕對不會跳出任何需要程式授權的 pop-up,有些瀏覽器提醒非https網頁的pop-up除外。
區塊鏈Gateway服務如果要提供雙向溝通服務,涉及電子鑰匙或密碼發送,必須要有 https 端對端加密,不然連電信商ISP都可以解碼任何通關的內容。
早期的旮旯gateway,我看過有https 的。我正在設法把 yawti .com 旮旯Gateway套上https 服務,做應用難免要依賴gateway。旮旯內置 web server 是舊版Jetty,不是常見的 Apache 或微軟 IIS,我還沒摸清門路。