“使用以太坊登錄”(Sign-InwithEthereum,SIWE)顛覆了用戶在互聯網上的選擇。
用戶不再需要向一些大型中間商妥協,現在可以使用控制其區塊鏈賬戶的同一個私鑰直接登錄(不需要經過中間商)。通過SIWE,我們開辟了另一條道路,大公司不再能剝奪用戶訪問服務的能力,也不能監視他們的行為。
SIWE是一個完全公開的認證標準,通過與dapp、app、錢包、安全公司等社區成員的公開討論來實現。你可以在網站login.xyz上找到所有的會議記錄和筆記。這種方法與科技巨頭或政府供應商的專有身份系統的封閉式開發大相徑庭(受到隱私和數字權力倡導者的抗議)。
相比之下,Sign-InwithEthereum(EIP-4361)為以太坊賬戶定義了一種開放的知識共享(creativecommons,CC)簽名格式,以安全地驗證任何基于網絡的服務。SIWE由社區構建,獲得以太坊基金會和ENS的直接支持,并且Spruce于去年年底開始負責該項目。我很高興能在這里討論“使用以太坊登錄”的意義,以及對于Web3的所有構建者來說它是如何超越“連接錢包”的。
“Rollup即服務”平臺Caldera推出兩個公共測試網:金色財經報道,Web3基礎實施提供商、“Rollup即服務”平臺Caldera正式開放兩個公共測試網,兩個測試網分別部署在Goerli Etherum和Polygon Mainnet上,并對所有開發人員和用戶開放。Caldera表示,此次公布的測試網不是激勵性測試網,參與不會授予任何代幣或任何類型報酬的權利。
此前2月份報道,“Rollup即服務”平臺Caldera宣布已經在兩輪融資中籌集了900萬美元。[2023/3/31 13:37:13]
連接錢包vs.使用以太坊登錄
“連接錢包”這個按鈕是現在dapp的主要功能。點擊這個按鈕,用戶就開始了與Web3和區塊鏈交互的旅程。
跨鏈Web3身份協議.bit 24小時交易額跌幅達92.92%:金色財經消息,據NFTGo.io數據顯示,跨鏈Web3身份協議.bit 總市值達49.12萬美元,其24小時交易額為11,276.22美元,跌幅達92.92%。截止發稿時,該系列NFT當前地板價為0.0012ETH,漲幅為9.09%。[2022/9/16 7:01:32]
通過連接錢包,應用程序可以知道你使用的是哪個賬戶;然而,僅此而已。你的錢包更容易了解你想用哪個賬戶來與智能合約互動、發送加密貨幣,甚至通過dapp對信息進行簽名。連接錢包的功能非常簡單——dapp對你“毫無記憶”,只是為簡單的交互搭建了一個平臺。
當應用程序想要和用戶進行更豐富的情境交互(contextualinteractions)時,比如加載用戶的偏好或隱私聊天訊息,我們首先需要確保我們是在和該賬戶背后的實際私鑰持有者對話,而不是某個假裝對賬戶持有控制權的人。“連接錢包”不提供這種保證,但SIWE可以。換句話說,我們需要對用戶進行身份驗證,以便與他們建立一個session,然后安全地讀寫他們的數據。為了說明兩者的區別,我舉了以下兩個例子——連接錢包的Carl和建立session的Sam:
Chrome 瀏覽器發布更新以修復新的零日漏洞:8月18日消息,Chrome 瀏覽器發布 104.0.5112.101(Mac 和 Linux)和 104.0.5112.102(Windows)版本更新,以修復新的零日漏洞,該漏洞代號為 CVE-2022-2856,是由于瀏覽器未充分驗證不受信任的輸入。Web3 安全機構 Wallet Guard 稱所有使用 Chromium 內核的瀏覽器都會受到影響,并建議用戶盡快進行更新。[2022/8/18 12:32:55]
(譯者注:Session在是一種用來在客戶端與服務器端之間保持狀態的解決方案。其基于思路是:?客戶端第一次訪問時,服務器端生成一個sessionid返回給客戶端,當然服務器端也會把這個sessionid存在內存中,客戶端得到這個sessionid后,在后續的每個請求中會把這個sessionid傳回服務器,這樣服務器查詢自己內存就知道這個客戶端曾經訪問過。Session可以用來實現用戶的登錄認證。服務器端生成的sessionid傳回客戶端后,往往會保存在cookie中,所以Session-based認證也稱為Cookie-Based認證。來源)
Coinbase Wallet整合OpenSea和Rarible訂單:金色財經報道,據Coinbase錢包官方社交媒體賬號發文,Coinbase Wallet已進行升級,旨在使NFT交易可以更加無縫地完成,并且對新用戶更加友好。此外,Coinbase錢包功能還得到了進一步拓展,可以廣播NFT市場OpenSea和Rarible的報價信息,這意味著用戶可以在Coinbase錢包上查看NFT訂單,而且還可能通過錢包內置工具接受或巨鯨報價。OpenSea 是 Web3 中最受歡迎的 NFT 市場,每天處理 25,000 到 30,000 個用戶的訂單,目前其智能合約已經部署到以太坊 (ETH)、Solana (SOL) 和Polygon (MATIC) 區塊鏈,而Rarible NFT市場目前支持以太坊 (ETH)、Tezos (XTZ) 和 Flow (FLOW) 區塊鏈。[2022/7/23 2:33:20]
歐易OKX 金融市場總監:Web3將無可避免地對互聯網盈利模式產生影響:7月14日消息,歐易OKX金融市場總監Lennix在7月14日舉辦的全球Web3生態創新峰會中表示,Web3暫時不會全面取代Web2的互聯網盈利模式,但卻會對其產生不可避免的巨大影響。
Lennix認為,如果企業有方法說服用戶繼續通過授權個人隱私數據來換取更精準的產品服務以及資訊,仍可以實現Web2.0式的創收。但用戶在個人數據層面上的私權觀念意識是無法被扭轉的。
據了解,出席本次活動的有SUSS校長Cheong Hee Kiat、新躍社科大學教授李國權、華為云亞太地區高管等。[2022/7/14 2:12:34]
Carl使用dapp并有一個很好的體驗。他可以在Uniswap上進行交易,在Aave上借貸,甚至在OpenSea上購買NFT。進行這幾項操作只需要連接他的錢包。Carl的操作一直都挺順利的,直到有一天,他遇到了這樣的問題:他希望這些dapp能夠記住他的一些情況,以便在他第三次、第四次和第五次使用這些dapp時,能給他更好的體驗。
Carl在想,如果Uniswap能自動導入他的優先清算權,Aave能夠記住他最喜歡的借貸市場,甚至OpenSea能記住他的名字而不是0x2Fe1a3...這樣的賬戶,他的體驗會好很多。Carl每次連接他的錢包時都要從頭開始。
Sam就不會有這樣的問題了。Dapp對其進行了認證并且建立了session之后,相關信息就會被保存下來。即便Sam斷開連接并且重新進行認證,session也會從他離開時的狀態繼續,應用程序仍然記得與他相關的一切。他的信息甚至可以保存在他控制的一個遠程數據庫中。
使SIWE一元化
縱觀Web3領域,你會發現許多現有的服務提供某種形式的"Sign-InwithEthereum",但沒多少能達到標準的。他們通常會使用它來和用戶建立一個基于cookie的session,該session可以管理該賬戶相關的專有元數據。比如,如果你想要給用戶權限在你的網站上自定義他們自己的個人檔案(像OpenSea那樣),你應該在用戶可以做出任何更改之前對他們進行身份驗證,以確保只有用戶可以編輯他們自己的個人檔案。工作流程如下所示:
連接錢包后的第一步是給用戶提供人類可讀的消息,這樣他們才能理解自己進行了什么交互。在很多案例中,用戶看到的是"LOGIN"(登錄)字樣,或者一些讓你登錄的文字,甚至有時只是一個任意的數字(在這里,對這個隨機的瘋狂的字母和數字集合簽名吧)。那么相反,我們可以根據現有實踐確定一組必需的字段、設定好許多良好的安全措施和一個在人類可讀和安全運行之間平衡的嚴格語法。此外,錢包不需要改變它們現有界面和實踐,至少可以繼續為用戶提供這類信息。
首先,我們可以接收所有這些混亂的“SIWE”信息,并以一種可接受的通用方式向用戶提交請求:
共享信息-?共享界面
對簽名信息格式達成一致后,應用程序和錢包現在可以說同一種語言了。當應用程序向用戶提交簽名請求時,錢包可以檢查該請求,檢查它是否與EIP-4361(SIWE)信息相符,并讓用戶知道他們正在登錄一個網站。
在這一點上,錢包可以呈現一個友好的程式化的界面,讓用戶體驗更佳,并且不對用戶將要采取的行動產生任何懷疑。而不是給用戶一個任意的文本塊來簽名。用戶現在只需點擊一個確認對話框來“登錄”,因為錢包能夠“理解”簽名請求。為了實現完全透明,EIP-4361規范中聲明所有信息和字段仍然必須在其他子界面(如詳細視圖)中可用。
從EIP-4361的信息中,我們可以得到一個更清晰的界面:
該規范還為錢包引入了額外的安全要求,例如引入域綁定以防止釣魚攻擊;引入nonces以防止重放攻擊,用戶在整個過程中得到了進一步的保護。比如,如果錢包發現一個有效的SIWE信息,但是用戶正在對example.com進行簽名(但實際上是在exampie.com),錢包可以警告用戶該情況:
身份驗證之外
SIWE信息也可以被理解為訪問特定資源的授權,或者對session私鑰的委托,以提高dappUX的功能性和易用性。例如,想象一下,在這樣一個世界里,用戶可以使用他們保留的數據來豐富他們自己的session,而不是應用程序保存用戶的數據。想要了解更多信息,強烈建議大家看看這篇文章:
來源|blog.spruceid.com
作者|Rocco
Tags:IONESSWEBWEB3Label FoundationGlobal Business Hubweb3.0幣龍頭MetaWeb3Pad
北京時間2022年3月13日上午9:04,CertiK安全技術團隊監測到Paraluni''sMasterChef?合約遭到攻擊,大約170萬美元的資金通過多筆交易從該項目中被盜.
1900/1/1 0:00:003月9日,Web3基礎設施初創公司EthSign宣布完成1200萬美元種子輪融資,紅杉資本、紅杉印度、紅杉中國均參與本輪融資,本輪融資由紅杉印度和MiranaVentures領投.
1900/1/1 0:00:00頭條 ▌新加坡將對NFT交易征收所得稅3月11日消息,新加坡財政部長LawrenceWong周五在議會表示,新加坡現行的所得稅規則將適用于NFT交易,也適用于交易NFT的個人.
1900/1/1 0:00:00朋友們, 周一快樂! 我最喜歡寫看似所有人有統一共識但結果證明是完全錯誤的東西。而這正是今天這篇文章要寫的內容.
1900/1/1 0:00:00注:本文是僅是一個旁觀者的敘述,本文所提到的Hacker,主要是指沉迷于密碼學和網絡安全方面的計算機科學家。本號不提供任何投資建議,不接任何PR需求。本文不構成任何投資上的建議.
1900/1/1 0:00:00AndreessenHorowitz,也就是我們熟知的“a16z”,是知名投資人MarcAndreessen及其合作伙伴成立的一家創投公司.
1900/1/1 0:00:00