區塊鏈的網安考量
作者:王建財,30 October 2021
區塊鏈軟件,必須100% 開源,不開源就不是區塊鏈,只是技術機制而已。不只是談理想,本質上區塊鏈軟件真的是不取信於任何人,trustless,源碼任人過目,編碼運作而治,有疏漏大家可以提出,共識下改善,贊同者繼續,不贊同就只好不參與。廣大人數有能力看編碼是開源共識下的軟件基礎,人與人之間只是認碼就夠了,互相認識不是必要。理想歸理想,現實中大部分參與者是看不懂,就算有能力看很多也是懶得仔細分析,因此,一個計劃的信譽通常會集中在程式師團隊和初始測試版的作為,過程有贊有貶是常態,有創意通常會得到大家青睞,這一個層面,其實跟區塊鏈的 trustless 有很大的出入。一個計劃要迅速成功,取得廣大人數支持是免不了,因此看得懂編碼的人身負重任,核心團隊必須要有人全面監督,只是靠不懂技術的人或資方吹噓或靠仙家推銷然後割韭菜的 Token 計劃,大半目標就只是炒作賺錢,沒什麼創意用途可言,當然其中有很多就純粹是騙局。
旮旯區塊鏈,源碼 100% 開源,原創。旮旯區塊鏈創世紀是把所有旮旯幣分給眾籌參與者,總共籌得百多個比特幣,全數給一個身份形同中本聰的程式師。坦白說,旮旯軟件已經幾年沒人更新,但已經所具備的功能多年來都無恙,電子鑰匙機制暫時無大礙,有些區塊鏈計劃不斷的強調防量子運算破解,對旮旯而言是暫時不必考慮到那麼遠的未來,旮旯幣和任何寄生代幣能夠安全匯進匯出就夠了。節點不多,礦工不多,對比旮旯幣的用途狀況,也沒什麼經濟價值能引來黑客攻擊。PoS 挖礦制,能動員 51% 做攻擊,代表他們活躍起來,對比目前只是 1% 活躍,那是更好的事情。目前旮旯區塊鏈51% 攻擊不會有任何價值上的損失,最多只是已經發布的網頁內容不見了,必須再發布一次。我決定出手打救旮旯前,有一陣子旮旯區塊鏈全面熄燈近一個月,完全沒有節點,過後有人又開機維持節點,舊數據又回來了。理論上,就算51% 攻擊區塊鏈回到幾個月前,如果應用者少,沒什麽好取巧詐騙,基本上是沒什麼大問題的。
講了以上兩段關於區塊鏈機制安全的技術問題,我是要表達一個訊息,那就是旮旯軟件雖然幾年沒人更新,但基本上是個健全的區塊鏈軟件,對我而言是深入探索區塊鏈概念和做教育的理想工具。接下來要談用途上的各種安全考量,主要就是取用旮旯網頁要注意的事項。軟件開源碼多數人都沒能力看懂,而 HTML 網頁源碼只要稍微懂原理,過目 HTML 源碼馬上評估安全與否是人人都能輕易辦到的事情,各大品牌瀏覽器鼠標右擊網頁都可以打開源碼,旮旯內容網頁一般上是唯讀狀態,沒有互動,過目源碼時尋找任何外接的 Link,通常是 http 或 https 加上網址,如果是接到微軟或甲骨文的伺服器,一般上都還很可靠,內容網頁最好是純 HTML,外接只是加插圖片,盡量不要有外援 Lib 的 js 程式碼。
用自己電腦的節點瀏覽旮旯網頁是最理想的,技術上是完全沒有審查的空間。編碼 100% 開源任人過目,是為了防止任何惡意手段,而旮旯網頁,HTML 本質上就是 100% 透明,只差用戶要不要去過目稽查。一般網頁靠信任,大公司更容易取信於人。任何區塊鏈的內容,如果有大公司或可靠的人把關過濾,基本上是也沒什麼網安風險。如果是自己維持節點,比如以太坊的節點,早期我有這樣做,可以直接發現很多新代幣計劃,我當時有在臉書大吐苦水,覺得十之八九是騙局。以太坊也可以置放接連任何互聯網的內容,如果有心人要帶你去下載病毒,沒有瀏覽器過濾保護下,風險非常大。時下的瀏覽器,比如谷歌 Chrome,大部分暗藏破壞軟件的網站都會被攔下。旮旯網頁基本上也是用一般的瀏覽器來打開文檔,任何 Pop-up 一類的程式都會要求用戶許可,必須謹慎使用,旮旯網頁好在都是唯讀為主,風險相對低,但基本功還是要有,過目陌生人的 HTML 源碼是必要,如果要經常用到的話。不然,要方便起見,就是靠信任,通常我介紹的內容,都是我 100% 確定沒網安問題才推薦。
自己的電腦內瀏覽,用 localhost,http 或 https 都沒差別。如果通過網關gateway 服務,比如我的兩個旮旯網關服務,如果有互動就必須要有 https,沒互動就只是唯讀,http 是沒辦法選擇,跟之前談 localhost 情況一樣,信任的內容才瀏覽,我的 freecity 網頁都是我發布的,信任我的人歡迎來瀏覽指教。