Subscribe to OLANDBOX
Subscribe to OLANDBOX
Share Dialog
Share Dialog
<100 subscribers
<100 subscribers
安全访问一直是大家关注的话题。实现真正意义上的安全访问也一直是一个难点,所以如何实现安全访问也将是大家的一个难题,也算是一个希望吧。
挑战伴随而来也是机遇。
本文将会从安全访问这个角度,跟大家分享一些,关于我对于安全访问这个内容的看法。聊聊如何实现安全访问以及谈谈未来存在的一些可能性。
本文将从以下几个内容展开: 一 安全困境:钓鱼网站&假冒账号&访问困难 二 一些解决方案 三 安全访问:可读,可信,语义化的重要性 四 认证,编辑,存储,调用 五 语义内容 六 隐私和授权 七 更广泛的应用
1.1 安全困境 互联网发展了近三十年,给人类社会带来了翻天覆地的变化,也引入了新的安全困境。 钓鱼网站,假冒账号造成了巨额损失,迄今为止,并没有一个成熟的方案能够降低风险。 正如之前所说,“在互联网上,没有人知道对面是一个人还是一条狗“,怎么能够识别出来高风险网站和假冒账号,是安全领域一个的难题,也能够提升用户的使用体验。
1.2 钓鱼网站 钓鱼网站经常被用来盗窃用户资产,WEB2的域名后缀太多,抢注式的域名方案,无法让普通用户寻找和分辨网站的真假。 .com .net .io 等等多个域名,我们很难区分 http://discord.com/ http://discord.net/ http://discord.io 等哪一个才是Discord的真正官网。
骗子通过钓鱼网站,收集用户的用户名/密码/验证码等信息,窃取用户资产,钓鱼网站的虚拟链接,可以通过邮箱,假社交媒体账号,短信等方式分发到用户。 通常还会用虚假的事件来引起用户的关注,而忽视掉钓鱼网站的信息,如资产被盗,密码需要修改,异地登录提醒等,用户本身就不容易留意网址,更多注意力放在打开的页面上,而钓鱼网站完全可以做到以假乱真。 WEB2中有多起影响比较大的钓鱼网站事件,WEB3更是重灾区,因为WEB3 更多通过社交媒体来公布信息,一旦社交媒体账号被盗,作恶者会发布虚假链接,引诱用户到假官网诱骗授权,然后转移资产。
1.3 假冒账号 和钓鱼网站同样对用户造成干扰的,是社交媒体账号,通常社交媒体账号会引入认证机制,但小微项目很难获得认证。 在Twitter,无论是搜索Luna,还是搜索FTX,我们都能搜到很多虚假账号,同样的,用户想要识别一个账号的真假,非常困难。 在马斯克收购Twitter之后,开放了蓝V认证,有人利用规则漏洞,申请了某制药公司的蓝V,然后宣传胰岛素全部免费的虚假消息,当天市值蒸发百亿美元,随后此制药公司取消了在Twitter上的数百万美元的广告投放。 而这些仅仅是假冒账号造成的危害之一,更多的假冒账号会联合钩鱼网站,窃取用户资产。
1.4 虚假APP 虚拟应用在PC端时候就存在,手机带来的移动时代后,在WEB3领域中更是屡见不鲜。 钱包,交易所都是重灾区,下载了假冒钱包之后,助记词被盗,资产可以随时转走。下载了假的交易所App,登录交易等都完全正常,直到某天发起提现操作,才发现地址被替换成骗子的地址。 并不是所有的APP都有IOS版,Google Play 也限制了部分用户机型和所在地的登录,因此去哪里下载安全的App,也是当前WEB3用户一个急须解决的问题。
1.5 访问困难 除开安全问题,WEB2使用互联网的方式,高度依赖于搜索引擎,WEB2是中心化的,反而造就了分裂的现状,一个项目,或者是公司,通常会在多个中心化的社交软件中注册账号。 我们无法快速确认哪些是官方账号,只能先去搜索引擎搜索,然后找到官网,再从官网找到Twitter或者是Discord的账号。 用户习惯于此,却从未问过一个问题:为什么我知道了一个项目的名称,不能够从名称上直接访问他的Twitter,Facebook或者是Tiktok? 同样的,另一个问题也诞生了:为什么我只能使用搜索引擎去搜索,要接受广告排列在结果前面,虚拟网站可能排名更靠前的古老方案? 当我们抛开习惯而去思考的时候,会发现当前过度依赖搜索引擎的访问方式,或许并不是完美的,我们有更大的改进空间。
1.6 数据隐私 如果我想和我的一个朋友打电话,我需要提前知道她的电话号码,保存在我的通讯录。 如果我想给我的一个朋友寄礼物,我需要提前知道他的地址,还有邮政编码和具体的门牌号。 我们通常都认为,不暴露自己的电话,地址,或者是Email等是保护自己数据隐私的最佳方式,但是你无法阻止数据被复制和传播。 一旦隐私暴露,很可能造成骚扰和暴力,这些并非是互联网的需求,却依然存在几个问题: 我是要打电话给我的朋友,为什么我一定要知道她的电话号码?这是通信公司内部要处理的事情。 我要寄礼物给我的朋友,为什么我一定要知道他的家庭地址?这是快递公司内部要处理的事情。 我们专注于寻找的是一个名字和他对应的属性,比如说网址,Tiktok账号,电话或者是地址,其实根本不必在意这个网址倒底是什么。 从语义上来讲,用户要做的是,访问”以太坊的官网“,而不是”http://etherum.com/”,在这里,我们做了一个小小的测试,如果你看到这里,是否意识到,以太坊真正的官网,是 https://etherum.org/ 而不是 https://etherum.org/ ? 如果你没注意到或者是无从分辨,这就是安全访问要解决的问题。
2.1 方案概述 那么在WEB2中,始终没有人去关注和解决这些问题吗?或者说,现有的解决方案效果怎么样,我们为什么要推出”安全访问“的概念和模式? 针对钓鱼网站,浏览器厂商会在查询的时候提示这个网站是否安全,如果不安全,或者给你弹窗警告。 针对假冒帐号,社交媒体会推出实名认证或者是蓝V认证,来确保用户清楚的分辨,什么是经过认证的账号。 而搜索引擎也会尝试在用户搜索到某一个具体项目名称的时候,展示官网网址,或者是其他的服务,例如搜索股票会给出行情,这被叫做框计算。 一些打车软件为保护用户的隐私,会通过一些虚拟号码做中转,这样司机可以打电话给乘客,但是却不会知道真正的电话号码。 规模稍大的企业,会有全司员工的通讯录,拥有访问权限的人,可以用办公软件语音通话或者是直接用手机拔打电话,省去了在自己通讯录上存储所有员工电话号码的问题,也避免了电话号码更新不及时的情况。 但是这些方案都存在各种各样的问题,特别是在WEB2的模式下,无法解决。
2.2 浏览器提醒的问题 浏览器提醒钓鱼网站,需要中心化团队的审核,或者是决策权在浏览器本身,这些数据和知识并不会被共享,更新也不够及时,也无法确保724小时服务,而这些,都是WEB3的优势。 更被人关注的问题是,浏览器本身可能存在做恶,它有可能标注一个未和浏览器合作的项目官网,提示它是危险网址,阻止用户安全访问。
2.3 社交网站的认证账号 社交网站的认证,是基于web2的证明,如身份证明和公司证明,随着Dao的兴起,越来越多的公司并没有一个实体来承载。 除此之外,认证之后的数据并不透明,也缺少一个通用的访问方式,公司或个人需要依次取得各家社交平台的认证。 认证账号通常只能在自家的社交应用中使用。 更重要的是,认账的账号和用户的品牌之间并不能完全一致。*
2.4 搜索引擎的展示 搜索引擎会在正确的内容之前加入广告内容,影响和干扰用户的使用。 搜索的排序也取决于被收录网站的相关性,所以需要网站完成SEO。 更多的时候,因为缺少认证,钓鱼网站或虚假网站的排序会高于正确的网站。 2.5 当前解决方案的小结 中心化认证,数据私有,不开放数据,品牌名和认证ID存在差异,无法提供7*24小时不间断服务,这些都是WEB2中存在的问题。
中心化认证,影响到了认证的效率,准确度,有权利也存在寻租空间。 数据私有,就需要多次认证,单个平台的认证数据无法被更多应用共享。 不开放数据,导致数据的准确度存疑,没有人能够监督和维护数据是否正确。 品牌名和认证ID的差异,增加了额外的认知,用户只能点击到详情页,才能去判断是不是真正的网站或账号。
而中心化的服务很难服务于全球,需要巨大的成本,即便如此,考虑到偏远地区,数据的同步和访问的延迟很难被关注到。 传统的WEB2,对于解决安全可信的访问问题,很难彻底解决掉,所以我们将目光转向区块链,看看基于WEB3的技术体系,能否实现安全访问。
V神提出来了灵魂绑定的概念,认为钱包和某个NFT不可分离,可以称之为灵魂绑定。按照这种思路,品牌方是默认存在灵魂绑定的数据,如Logo和社交账号,因为我们称之为品牌灵魂,同时,因为是经过认证的品牌,通常大家会给认证标以蓝色的V标记,所以,基于区块链的安全访问方案,我们称之为蓝魂链接,用来代指安全访问。
我们先看安全访问需要哪些显性特征。 可读:通过URL就可以理解,在访问哪一个项目的什么社交账号。 可信:能访问的URL都是安全的,不会出现虚拟钓鱼网站 语义化:只需要记住项目的名称,就可以访问到项目的所有社交账号 举一个例子:https://oland.info/olandbox oland.info是网关地址,在ONS(Ontology Name Service)协议下可以不出现 olandbox是项目的名称,打开是一个蓝魂页的页面。 http://如果oland.info/{project} 能够,那它就是一个官页的页面,这些实现的是可信。 如果我们想访问olandbox的twitter: https://oland.info/olandbox.twitter 如果我们想访问olandbox的discord: https://oland.info/olandbox.discord olandbox.twitter 和 olandbox.discord 这就是可读和语义化。
从Url上我们可以很清楚的知道,当前的Url访问的是Twitter还是Discord,而Olandbox这个项目下,还支持对facebook,debox,youtube,tiktok等多个社交媒体的访问。 如果可读,可信,语义化的安全访问来替代传统的Url,用户可以最大程度的避免被钓鱼网站欺骗。
对于平常不太注意的社交媒体账号,也不需要去记忆他们的真实账号倒底是什么。 只需要{project}.{relation} 的访问方式就可以找到想要的社交账号或官网,这也将极大的降低大多数人使用互联网的门槛。
那么,除了这些显性特征,还有哪些隐性特征,应该是安全访问所具备的呢? 7*24: 7 * 24 小时服务体系,无论什么时候都可以不间断的使用安全访问服务
数据公开:数据公开的以纠错和验证 **全球访问:**无论在全球什么地方,只要网络存在都可以访问 **去中心化认证:**数据不归属于任何一个中心化的实体,认证的过程是公开,透明,人人可以参与的。 自由访问:认证数据可以开放给所有人和应用,都可以免费使用认证服务 自主维护:项目方的社交媒体账号由自已来维护,自身保证数据的准确性 **公共维护:**除开项目方自己维护的数据之外,公共也可以维护一组数据,两组数据如果不一致,证明数据需要关注 安全链接由“网关+品牌+语义” 三部分组成 http://oland.info 是网关,在Olandbox的规划中,网关是最终要去除掉的。
可以用以下几种方式访问蓝魂安全链接: 1 网关 http://oland.info (现在),未来也可能支持多个网关 2 浏览器插件(未发布) 3 社交插件(如Discord,未来) 4 钱包(钱包内置浏览器,未来) 5 浏览器原生支持(未来)
olandbox 是品牌,品牌是认证制,非强注制,这是蓝魂和Linktree/Link3等最大的区别。 品牌实际上包含了域名的功能,全名是 品牌名+".v",如果olandbox.v 但我们简化了,默认通过网关访问的,都是官方空间。 品牌名未来会以一个NFT的方式管理 ,每一个品牌方都会收到一个代表管理权限的NFT,也可以转让,我们会在第四章 编辑小节里介绍这种方式 ".website " 是语义,让用户直观的用语义去访问各种社交应用。 目前支持但不限于: debox,twitter,facebook,website,youtube 等,我们将在第五章语义内容中介绍更多的细节 这样,用户只需要记住关键词品牌名,就可以通过语义去访问项目方的任何账号,在第四章的**“调用”**一节,我们将描述更多的调用细节。
要实现安全访问,有四个环节,分别是认证,编辑,存储和调用。
4.1 认证 认证阶段,用来确认谁才是项目的主权拥有者。 目前认证会通过三个阶段来实现,分别是中心化认证,去中心化认证,委员会认证。 中心化认证,和传统的WEB2方式一样,由中心化的团队来负责审核和负责,中心化认证的方式适用于早期,可以快速沉淀数据,让用户尽早使用。 去中心化认证,采用投票的方式,来决定申请者是否具备某个词条的编辑权限。投票中需要质押代币,最终结果和自身结果一致,会得到奖励代币,最终结果和自身结果不一致,会没收代币。去中心化的阶段适合于区分用户的专业度和可信度。 委员会认证,委员会认证限制了认证的参与人,具备一定专业度和可信工的用户获得较高的权重,故意作恶或者陌生领域的用户会被拒绝或者是降低权重。委员的选举和轮换也是需要考虑的事情。 认证通过之后,申请人将会获得对应词条的编辑权限,同样的,对于词条的编辑权限,也分成两个阶段来完成,钱包管理和令牌管理。 钱包管理阶段,申请人提交钱包地址做为词条的管理标志,这时,词条的数据安全等级等价于钱包的安全等级,用户可以选择多签钱包等做管理。钱包管理阶段,可以快速实现,不足之处在于很难完成转让和授权。 令牌管理阶段,申请人将获得一张NFT做为令牌,令牌上有记录对应的管理词条,拥有令牌就拥有对应词条的编辑权限。令牌管理的好处是,更方便的转让和授权。
4.2 编辑 当申请人获得对应词条的管理权限后,可以编辑词条的蓝魂内容,如官网,社交账号,简介,Logo,事件等。 编辑权限的获取,也分成几个阶段,分别是钱包编辑,令牌编辑。 钱包编辑:将编辑权限直接绑定某一个钱包地址,拥有钱包权限的用户可以使用钱包登录编辑蓝魂内容权限。 令牌编辑:将编辑权限赋予一张令牌NFT,拥有令牌NFT的钱包会拥有编辑权限。 钱包编辑的优势是简单方便,但很难转让权限。 令牌编辑的优势是可以随时让权限转让出去,在未来很有可能在授权方面有更广泛的场景。
4.3 存储 蓝魂内容的存储,也分成了三个阶段实现,分别是中心化存储,去中心化存储,全链存储。 中心化存储,数据存放在中心化的图数据库中,早期用于快速实现和验证功能。 去中心化存储,词条的数据范式确认之后,可以将数据存储到链上,用于实现公开透明和不可篡改。 全链存储,词条相关数据,并不属于任意一条公链,因此必然存在公链数据跨链同步的问题。
4.4 调用
数据的调用,分成两种方式,API和ABI。 网关接口可以提供API的返回结果,合约则提供ABI的返回结果。 可以使用蓝魂数据的应用包括但不止: 浏览器,钱包,社交媒体,通信,快递等。 接口的内容也将分成几种格式: Html :返回一段Html代码 Json:返回一段Json数据 未来可能会支持更多格式,同时,调用还会分成免费和付费两种方式,品牌方将拥有定价权,确认哪些是需要付费调用的,以及付费的方式。 除此之外,数据也不应该是完全开放的,品牌方将可以指定,哪种内容会以公开的方式调用 ,哪些内容需要申请授权。 我们将在第六章描述隐私和授权相关的问题。
蓝魂页目前提供了以下的语义内容,这些内容并非是最终版本。 website:官网 twitter:推特 discord:Discord facebook:脸书 youtube:youtube logo:展示Logo 等等,语义化的内容会不断扩充,最终会有一个语义表。 在未来,会支持更多的语义选项。
之前演示的场景中,蓝魂数据都是可以被公开访问的,但在实际场景中,还有隐私的问题,比如说,个人使用蓝魂页,手机号做为数据的一部分存储,这种隐私数据是不想公开的。 因此需要申请授权和申请数据的概念,用户可以依据标签或分类分配权限,也可以单独为某一个用户开放权限。
我们经常提到一个观点,就是什么场景下,WEB3的解决方案比WEB2更好,安全访问就是其中的一个场景,区块链目前是写入慢,有成本,但是读取快,完全免费。 所以,安全访问就是一个写少,读多的场景,而且写入收取上链费用,访问免费的模式是可以行的通的。 不仅如此,区块链做为技术,并非限制在只能服务于WEB3。安全访问完全可以替代现有的WEB2的访问方案。 再进一步,非互联网的产品,也可以使用,可以用于电话,邮政等。 去中心化的认证和存储,实现的是一个群体访问方式,把地球当成是一个超大计算机,安全访问就是创建一个统一的访问路径。
总结: 目前的安全现状访问现状堪忧,根据区块链的去中心化以及72小时不间断的服务可以给安全访问提供很多的解题思路。从可信可读语义化三个点上,将是未来实现安全访问的重大突破。
安全访问一直是大家关注的话题。实现真正意义上的安全访问也一直是一个难点,所以如何实现安全访问也将是大家的一个难题,也算是一个希望吧。
挑战伴随而来也是机遇。
本文将会从安全访问这个角度,跟大家分享一些,关于我对于安全访问这个内容的看法。聊聊如何实现安全访问以及谈谈未来存在的一些可能性。
本文将从以下几个内容展开: 一 安全困境:钓鱼网站&假冒账号&访问困难 二 一些解决方案 三 安全访问:可读,可信,语义化的重要性 四 认证,编辑,存储,调用 五 语义内容 六 隐私和授权 七 更广泛的应用
1.1 安全困境 互联网发展了近三十年,给人类社会带来了翻天覆地的变化,也引入了新的安全困境。 钓鱼网站,假冒账号造成了巨额损失,迄今为止,并没有一个成熟的方案能够降低风险。 正如之前所说,“在互联网上,没有人知道对面是一个人还是一条狗“,怎么能够识别出来高风险网站和假冒账号,是安全领域一个的难题,也能够提升用户的使用体验。
1.2 钓鱼网站 钓鱼网站经常被用来盗窃用户资产,WEB2的域名后缀太多,抢注式的域名方案,无法让普通用户寻找和分辨网站的真假。 .com .net .io 等等多个域名,我们很难区分 http://discord.com/ http://discord.net/ http://discord.io 等哪一个才是Discord的真正官网。
骗子通过钓鱼网站,收集用户的用户名/密码/验证码等信息,窃取用户资产,钓鱼网站的虚拟链接,可以通过邮箱,假社交媒体账号,短信等方式分发到用户。 通常还会用虚假的事件来引起用户的关注,而忽视掉钓鱼网站的信息,如资产被盗,密码需要修改,异地登录提醒等,用户本身就不容易留意网址,更多注意力放在打开的页面上,而钓鱼网站完全可以做到以假乱真。 WEB2中有多起影响比较大的钓鱼网站事件,WEB3更是重灾区,因为WEB3 更多通过社交媒体来公布信息,一旦社交媒体账号被盗,作恶者会发布虚假链接,引诱用户到假官网诱骗授权,然后转移资产。
1.3 假冒账号 和钓鱼网站同样对用户造成干扰的,是社交媒体账号,通常社交媒体账号会引入认证机制,但小微项目很难获得认证。 在Twitter,无论是搜索Luna,还是搜索FTX,我们都能搜到很多虚假账号,同样的,用户想要识别一个账号的真假,非常困难。 在马斯克收购Twitter之后,开放了蓝V认证,有人利用规则漏洞,申请了某制药公司的蓝V,然后宣传胰岛素全部免费的虚假消息,当天市值蒸发百亿美元,随后此制药公司取消了在Twitter上的数百万美元的广告投放。 而这些仅仅是假冒账号造成的危害之一,更多的假冒账号会联合钩鱼网站,窃取用户资产。
1.4 虚假APP 虚拟应用在PC端时候就存在,手机带来的移动时代后,在WEB3领域中更是屡见不鲜。 钱包,交易所都是重灾区,下载了假冒钱包之后,助记词被盗,资产可以随时转走。下载了假的交易所App,登录交易等都完全正常,直到某天发起提现操作,才发现地址被替换成骗子的地址。 并不是所有的APP都有IOS版,Google Play 也限制了部分用户机型和所在地的登录,因此去哪里下载安全的App,也是当前WEB3用户一个急须解决的问题。
1.5 访问困难 除开安全问题,WEB2使用互联网的方式,高度依赖于搜索引擎,WEB2是中心化的,反而造就了分裂的现状,一个项目,或者是公司,通常会在多个中心化的社交软件中注册账号。 我们无法快速确认哪些是官方账号,只能先去搜索引擎搜索,然后找到官网,再从官网找到Twitter或者是Discord的账号。 用户习惯于此,却从未问过一个问题:为什么我知道了一个项目的名称,不能够从名称上直接访问他的Twitter,Facebook或者是Tiktok? 同样的,另一个问题也诞生了:为什么我只能使用搜索引擎去搜索,要接受广告排列在结果前面,虚拟网站可能排名更靠前的古老方案? 当我们抛开习惯而去思考的时候,会发现当前过度依赖搜索引擎的访问方式,或许并不是完美的,我们有更大的改进空间。
1.6 数据隐私 如果我想和我的一个朋友打电话,我需要提前知道她的电话号码,保存在我的通讯录。 如果我想给我的一个朋友寄礼物,我需要提前知道他的地址,还有邮政编码和具体的门牌号。 我们通常都认为,不暴露自己的电话,地址,或者是Email等是保护自己数据隐私的最佳方式,但是你无法阻止数据被复制和传播。 一旦隐私暴露,很可能造成骚扰和暴力,这些并非是互联网的需求,却依然存在几个问题: 我是要打电话给我的朋友,为什么我一定要知道她的电话号码?这是通信公司内部要处理的事情。 我要寄礼物给我的朋友,为什么我一定要知道他的家庭地址?这是快递公司内部要处理的事情。 我们专注于寻找的是一个名字和他对应的属性,比如说网址,Tiktok账号,电话或者是地址,其实根本不必在意这个网址倒底是什么。 从语义上来讲,用户要做的是,访问”以太坊的官网“,而不是”http://etherum.com/”,在这里,我们做了一个小小的测试,如果你看到这里,是否意识到,以太坊真正的官网,是 https://etherum.org/ 而不是 https://etherum.org/ ? 如果你没注意到或者是无从分辨,这就是安全访问要解决的问题。
2.1 方案概述 那么在WEB2中,始终没有人去关注和解决这些问题吗?或者说,现有的解决方案效果怎么样,我们为什么要推出”安全访问“的概念和模式? 针对钓鱼网站,浏览器厂商会在查询的时候提示这个网站是否安全,如果不安全,或者给你弹窗警告。 针对假冒帐号,社交媒体会推出实名认证或者是蓝V认证,来确保用户清楚的分辨,什么是经过认证的账号。 而搜索引擎也会尝试在用户搜索到某一个具体项目名称的时候,展示官网网址,或者是其他的服务,例如搜索股票会给出行情,这被叫做框计算。 一些打车软件为保护用户的隐私,会通过一些虚拟号码做中转,这样司机可以打电话给乘客,但是却不会知道真正的电话号码。 规模稍大的企业,会有全司员工的通讯录,拥有访问权限的人,可以用办公软件语音通话或者是直接用手机拔打电话,省去了在自己通讯录上存储所有员工电话号码的问题,也避免了电话号码更新不及时的情况。 但是这些方案都存在各种各样的问题,特别是在WEB2的模式下,无法解决。
2.2 浏览器提醒的问题 浏览器提醒钓鱼网站,需要中心化团队的审核,或者是决策权在浏览器本身,这些数据和知识并不会被共享,更新也不够及时,也无法确保724小时服务,而这些,都是WEB3的优势。 更被人关注的问题是,浏览器本身可能存在做恶,它有可能标注一个未和浏览器合作的项目官网,提示它是危险网址,阻止用户安全访问。
2.3 社交网站的认证账号 社交网站的认证,是基于web2的证明,如身份证明和公司证明,随着Dao的兴起,越来越多的公司并没有一个实体来承载。 除此之外,认证之后的数据并不透明,也缺少一个通用的访问方式,公司或个人需要依次取得各家社交平台的认证。 认证账号通常只能在自家的社交应用中使用。 更重要的是,认账的账号和用户的品牌之间并不能完全一致。*
2.4 搜索引擎的展示 搜索引擎会在正确的内容之前加入广告内容,影响和干扰用户的使用。 搜索的排序也取决于被收录网站的相关性,所以需要网站完成SEO。 更多的时候,因为缺少认证,钓鱼网站或虚假网站的排序会高于正确的网站。 2.5 当前解决方案的小结 中心化认证,数据私有,不开放数据,品牌名和认证ID存在差异,无法提供7*24小时不间断服务,这些都是WEB2中存在的问题。
中心化认证,影响到了认证的效率,准确度,有权利也存在寻租空间。 数据私有,就需要多次认证,单个平台的认证数据无法被更多应用共享。 不开放数据,导致数据的准确度存疑,没有人能够监督和维护数据是否正确。 品牌名和认证ID的差异,增加了额外的认知,用户只能点击到详情页,才能去判断是不是真正的网站或账号。
而中心化的服务很难服务于全球,需要巨大的成本,即便如此,考虑到偏远地区,数据的同步和访问的延迟很难被关注到。 传统的WEB2,对于解决安全可信的访问问题,很难彻底解决掉,所以我们将目光转向区块链,看看基于WEB3的技术体系,能否实现安全访问。
V神提出来了灵魂绑定的概念,认为钱包和某个NFT不可分离,可以称之为灵魂绑定。按照这种思路,品牌方是默认存在灵魂绑定的数据,如Logo和社交账号,因为我们称之为品牌灵魂,同时,因为是经过认证的品牌,通常大家会给认证标以蓝色的V标记,所以,基于区块链的安全访问方案,我们称之为蓝魂链接,用来代指安全访问。
我们先看安全访问需要哪些显性特征。 可读:通过URL就可以理解,在访问哪一个项目的什么社交账号。 可信:能访问的URL都是安全的,不会出现虚拟钓鱼网站 语义化:只需要记住项目的名称,就可以访问到项目的所有社交账号 举一个例子:https://oland.info/olandbox oland.info是网关地址,在ONS(Ontology Name Service)协议下可以不出现 olandbox是项目的名称,打开是一个蓝魂页的页面。 http://如果oland.info/{project} 能够,那它就是一个官页的页面,这些实现的是可信。 如果我们想访问olandbox的twitter: https://oland.info/olandbox.twitter 如果我们想访问olandbox的discord: https://oland.info/olandbox.discord olandbox.twitter 和 olandbox.discord 这就是可读和语义化。
从Url上我们可以很清楚的知道,当前的Url访问的是Twitter还是Discord,而Olandbox这个项目下,还支持对facebook,debox,youtube,tiktok等多个社交媒体的访问。 如果可读,可信,语义化的安全访问来替代传统的Url,用户可以最大程度的避免被钓鱼网站欺骗。
对于平常不太注意的社交媒体账号,也不需要去记忆他们的真实账号倒底是什么。 只需要{project}.{relation} 的访问方式就可以找到想要的社交账号或官网,这也将极大的降低大多数人使用互联网的门槛。
那么,除了这些显性特征,还有哪些隐性特征,应该是安全访问所具备的呢? 7*24: 7 * 24 小时服务体系,无论什么时候都可以不间断的使用安全访问服务
数据公开:数据公开的以纠错和验证 **全球访问:**无论在全球什么地方,只要网络存在都可以访问 **去中心化认证:**数据不归属于任何一个中心化的实体,认证的过程是公开,透明,人人可以参与的。 自由访问:认证数据可以开放给所有人和应用,都可以免费使用认证服务 自主维护:项目方的社交媒体账号由自已来维护,自身保证数据的准确性 **公共维护:**除开项目方自己维护的数据之外,公共也可以维护一组数据,两组数据如果不一致,证明数据需要关注 安全链接由“网关+品牌+语义” 三部分组成 http://oland.info 是网关,在Olandbox的规划中,网关是最终要去除掉的。
可以用以下几种方式访问蓝魂安全链接: 1 网关 http://oland.info (现在),未来也可能支持多个网关 2 浏览器插件(未发布) 3 社交插件(如Discord,未来) 4 钱包(钱包内置浏览器,未来) 5 浏览器原生支持(未来)
olandbox 是品牌,品牌是认证制,非强注制,这是蓝魂和Linktree/Link3等最大的区别。 品牌实际上包含了域名的功能,全名是 品牌名+".v",如果olandbox.v 但我们简化了,默认通过网关访问的,都是官方空间。 品牌名未来会以一个NFT的方式管理 ,每一个品牌方都会收到一个代表管理权限的NFT,也可以转让,我们会在第四章 编辑小节里介绍这种方式 ".website " 是语义,让用户直观的用语义去访问各种社交应用。 目前支持但不限于: debox,twitter,facebook,website,youtube 等,我们将在第五章语义内容中介绍更多的细节 这样,用户只需要记住关键词品牌名,就可以通过语义去访问项目方的任何账号,在第四章的**“调用”**一节,我们将描述更多的调用细节。
要实现安全访问,有四个环节,分别是认证,编辑,存储和调用。
4.1 认证 认证阶段,用来确认谁才是项目的主权拥有者。 目前认证会通过三个阶段来实现,分别是中心化认证,去中心化认证,委员会认证。 中心化认证,和传统的WEB2方式一样,由中心化的团队来负责审核和负责,中心化认证的方式适用于早期,可以快速沉淀数据,让用户尽早使用。 去中心化认证,采用投票的方式,来决定申请者是否具备某个词条的编辑权限。投票中需要质押代币,最终结果和自身结果一致,会得到奖励代币,最终结果和自身结果不一致,会没收代币。去中心化的阶段适合于区分用户的专业度和可信度。 委员会认证,委员会认证限制了认证的参与人,具备一定专业度和可信工的用户获得较高的权重,故意作恶或者陌生领域的用户会被拒绝或者是降低权重。委员的选举和轮换也是需要考虑的事情。 认证通过之后,申请人将会获得对应词条的编辑权限,同样的,对于词条的编辑权限,也分成两个阶段来完成,钱包管理和令牌管理。 钱包管理阶段,申请人提交钱包地址做为词条的管理标志,这时,词条的数据安全等级等价于钱包的安全等级,用户可以选择多签钱包等做管理。钱包管理阶段,可以快速实现,不足之处在于很难完成转让和授权。 令牌管理阶段,申请人将获得一张NFT做为令牌,令牌上有记录对应的管理词条,拥有令牌就拥有对应词条的编辑权限。令牌管理的好处是,更方便的转让和授权。
4.2 编辑 当申请人获得对应词条的管理权限后,可以编辑词条的蓝魂内容,如官网,社交账号,简介,Logo,事件等。 编辑权限的获取,也分成几个阶段,分别是钱包编辑,令牌编辑。 钱包编辑:将编辑权限直接绑定某一个钱包地址,拥有钱包权限的用户可以使用钱包登录编辑蓝魂内容权限。 令牌编辑:将编辑权限赋予一张令牌NFT,拥有令牌NFT的钱包会拥有编辑权限。 钱包编辑的优势是简单方便,但很难转让权限。 令牌编辑的优势是可以随时让权限转让出去,在未来很有可能在授权方面有更广泛的场景。
4.3 存储 蓝魂内容的存储,也分成了三个阶段实现,分别是中心化存储,去中心化存储,全链存储。 中心化存储,数据存放在中心化的图数据库中,早期用于快速实现和验证功能。 去中心化存储,词条的数据范式确认之后,可以将数据存储到链上,用于实现公开透明和不可篡改。 全链存储,词条相关数据,并不属于任意一条公链,因此必然存在公链数据跨链同步的问题。
4.4 调用
数据的调用,分成两种方式,API和ABI。 网关接口可以提供API的返回结果,合约则提供ABI的返回结果。 可以使用蓝魂数据的应用包括但不止: 浏览器,钱包,社交媒体,通信,快递等。 接口的内容也将分成几种格式: Html :返回一段Html代码 Json:返回一段Json数据 未来可能会支持更多格式,同时,调用还会分成免费和付费两种方式,品牌方将拥有定价权,确认哪些是需要付费调用的,以及付费的方式。 除此之外,数据也不应该是完全开放的,品牌方将可以指定,哪种内容会以公开的方式调用 ,哪些内容需要申请授权。 我们将在第六章描述隐私和授权相关的问题。
蓝魂页目前提供了以下的语义内容,这些内容并非是最终版本。 website:官网 twitter:推特 discord:Discord facebook:脸书 youtube:youtube logo:展示Logo 等等,语义化的内容会不断扩充,最终会有一个语义表。 在未来,会支持更多的语义选项。
之前演示的场景中,蓝魂数据都是可以被公开访问的,但在实际场景中,还有隐私的问题,比如说,个人使用蓝魂页,手机号做为数据的一部分存储,这种隐私数据是不想公开的。 因此需要申请授权和申请数据的概念,用户可以依据标签或分类分配权限,也可以单独为某一个用户开放权限。
我们经常提到一个观点,就是什么场景下,WEB3的解决方案比WEB2更好,安全访问就是其中的一个场景,区块链目前是写入慢,有成本,但是读取快,完全免费。 所以,安全访问就是一个写少,读多的场景,而且写入收取上链费用,访问免费的模式是可以行的通的。 不仅如此,区块链做为技术,并非限制在只能服务于WEB3。安全访问完全可以替代现有的WEB2的访问方案。 再进一步,非互联网的产品,也可以使用,可以用于电话,邮政等。 去中心化的认证和存储,实现的是一个群体访问方式,把地球当成是一个超大计算机,安全访问就是创建一个统一的访问路径。
总结: 目前的安全现状访问现状堪忧,根据区块链的去中心化以及72小时不间断的服务可以给安全访问提供很多的解题思路。从可信可读语义化三个点上,将是未来实现安全访问的重大突破。
No activity yet