# 安全访问

By [dark down](https://paragraph.com/@dark-down) · 2022-11-14

---

目录

### 一 安全困境：钓鱼网站&假冒账号&访问困难

### 二 一些解决方案

### 三 安全访问：可读，可信，语义化

### 四 认证，存储，调用

### 五 隐私和授权

### 六 更广泛的应用

正文

### 一 安全困境：钓鱼网站&假冒账号&访问困难

**1.1 安全困境**

互联网发展了近三十年，给人类社会带来了翻天覆地的变化，也引入了新的安全困境。

钓鱼网站，假冒账号造成了巨额损失，迄今为止，并没有一个成熟的方案能够降低风险。

正如之前所说，“在互联网上，没有人知道对面是一个人还是一条狗“，怎么能够识别出来高风险网站和假冒账号，是安全领域一个的难题，也能够提升用户的使用体验。

**1.2 钓鱼网站**

钓鱼网站经常被用来盗窃用户资产，WEB2的域名后缀太多，抢注式的域名方案，无法让普通用户寻找和分辨网站的真假。

.com .net .io 等等多个域名，我们很难区分 discord.com discord.net discord.io 等哪一个才是Discord的真正官网。

骗子通过钓鱼网站，收集用户的用户名/密码/验证码等信息，窃取用户资产，钓鱼网站的虚拟链接，可以通过邮箱，假社交媒体账号，短信等方式分发到用户。

通常还会用虚假的事件来引起用户的关注，而忽视掉钓鱼网站的信息，如资产被盗，密码需要修改，异地登录提醒等，用户本身就不容易留意网址，更多注意力放在打开的页面上，而钓鱼网站完全可以做到以假乱真。

WEB2中有多起影响比较大的钓鱼网站事件，WEB3更是重灾区，因为WEB3 更多通过社交媒体来公布信息，一旦社交媒体账号被盗，作恶者会发布虚假链接，引诱用户到假官网诱骗授权，然后转移资产。

**1.3 假冒账号**

和钓鱼网站同样对用户造成干扰的，是社交媒体账号，通常社交媒体账号会引入认证机制，但小微项目很难获得认证。

在Twitter，无论是搜索Luna，还是搜索FTX,我们都能搜到很多虚假账号，同样的，用户想要识别一个账号的真假，非常困难。

在马斯克收购Twitter之后，开放了蓝V认证，有人利用规则漏洞，申请了某制药公司的蓝V，然后宣传胰岛素全部免费的虚假消息，当天市值蒸发百亿美元，随后此制药公司取消了在Twitter上的数百万美元的广告投放。

而这些仅仅是假冒账号造成的危害之一，更多的假冒账号会联合钩鱼网站，窃取用户资产。

**1.4 访问困难**

除开安全问题，WEB2使用互联网的方式，高度依赖于搜索引擎，WEB2是中心化的，反而造就了分裂的现状，一个项目，或者是公司，通常会在多个中心化的社交软件中注册账号。

我们无法快速确认哪些是官方账号，只能先去搜索引擎搜索，然后找到官网，再从官网找到Twitter或者是Discord的账号。

用户习惯于此，却从未问过一个问题：为什么我知道了一个项目的名称，不能够从名称上直接访问他的Twitter，Facebook或者是Tiktok？

同样的，另一个问题也诞生了：为什么我只能使用搜索引擎去搜索，要接受广告排列在结果前面，虚拟网站可能排名更靠前的古老方案？

当我们抛开习惯而去思考的时候，会发现当前过度依赖搜索引擎的访问方式，或许并不是完美的，我们有更大的改进空间。

**1.5 数据隐私**

如果我想和我的一个朋友打电话，我需要提前知道她的电话号码，保存在我的通讯录。

如果我想给我的一个朋友寄礼物，我需要提前知道他的地址，还有邮政编码和具体的门牌号。

我们通常都认为，不暴露自己的电话，地址，或者是Email等是保护自己数据隐私的最佳方式，但是你无法阻止数据被复制和传播。

一旦隐私暴露，很可能造成骚扰和暴力，这些并非是互联网的需求，却依然存在几个问题：

我是要打电话给我的朋友，为什么我一定要知道她的电话号码？这是通信公司内部要处理的事情。

我要寄礼物给我的朋友，为什么我一定要知道他的家庭地址？这是快递公司内部要处理的事情。

我们专注于寻找的是一个名字和他对应的属性，比如说网址，Tiktok账号，电话或者是地址，其实根本不必在意这个网址倒底是什么。

从语义上来讲，用户要做的是，访问”以太坊的官网“，而不是”etherum.com”，在这里我们做了一个小小的测试，如果你看到这里，是否意识到，以太坊真正的官网，是”etherum.org“ 而不是”etherum.com”？

如果你没注意到或者是无从分辨，这就是安全访问要解决的问题。

### 二 一些解决方案

**2.1 方案概述**

那么在WEB2中，始终没有人去关注和解决这些问题吗？或者说，现有的解决方案效果怎么样，我们为什么要推出”安全访问“的概念和模式？

针对钓鱼网站，浏览器厂商会在查询的时候提示这个网站是否安全，如果不安全，或者给你弹窗警告。

针对假冒帐号，社交媒体会推出实名认证或者是蓝V认证，来确保用户清楚的分辨，什么是经过认证的账号。

而搜索引擎也会尝试在用户搜索到某一个具体项目名称的时候，展示官网网址，或者是其他的服务，例如搜索股票会给出行情，这被叫做框计算。

一些打车软件为保护用户的隐私，会通过一些虚拟号码做中转，这样司机可以打电话给乘客，但是却不会知道真正的电话号码。

规模稍大的企业，会有全司员工的通讯录，拥有访问权限的人，可以用办公软件语音通话或者是直接用手机拔打电话，省去了在自己通讯录上存储所有员工电话号码的问题，也避免了电话号码更新不及时的情况。

但是这些方案都存在各种各样的问题，特别是在WEB2的模式下，无法解决。

**2.2 浏览器提醒的问题**

      浏览器提醒钓鱼网站，需要中心化团队的审核，或者是决策权在浏览器本身，这些数据和知识并不会被共享，更新也不够及时，也无法确保7\*24小时服务，而这些，都是WEB3的优势。
    
    更被人关注的问题是，浏览器本身可能存在做恶，它有可能标注一个未和浏览器合作的项目官网，提示它是危险网址，阻止用户安全访问。
    

**2.3 社交网站的认证账号**

---

*Originally published on [dark down](https://paragraph.com/@dark-down/ZqbROgzDCBA8RtwxAD2d)*