Échange de crypto Échange de crypto
Ctrl+D Échange de crypto
ads

BM : Pourquoi la blockchain est-elle une meilleure architecture de serveur d'application/base de données ?

Author:

Time:

(Night, Van Gogh) Avant-propos : Il existe des problèmes de sécurité dans l'architecture des applications Web traditionnelles. Afin d'assurer un niveau de sécurité plus élevé, les entreprises ont dépensé des sommes énormes, mais elles ne peuvent toujours pas résoudre fondamentalement le problème. L'auteur de cet article, Daniel Larimer (également connu sous le nom de BM d'EOS), estime que pour résoudre ce problème, il est nécessaire d'adopter une architecture blockchain pour assurer la sécurité des bases de données et des comptes utilisateurs, ce qui peut empêcher l'accès non autorisé et la falsification -preuve, et peut Économies pour les entreprises adoptant la technologie blockchain. BM pense que la blockchain est une meilleure architecture de serveur d'application/base de données, et qu'elle deviendra une technologie incontournable pour de nombreuses entreprises à l'avenir. Sera-ce un énorme marché potentiel ? Qu'est-ce que tu penses? Cet article a été traduit par la communauté "DoTi" de Blue Fox Notes. Les infrastructures d'applications Web traditionnelles ont été conçues dans un souci de sécurité et, depuis vingt-cinq ans, les entreprises tentent de réparer des architectures fondamentalement non sécurisées. La conception architecturale suppose que les serveurs peuvent être fiables et protégés, mais des années d'expérience nous disent qu'aucun serveur n'est à l'abri des attaques externes, et encore moins des dangers internes. En d'autres termes, le serveur est fondamentalement centralisé. Nous avions l'habitude d'attribuer le "problème de sécurité" à la connexion entre l'utilisateur et le serveur, nous avons donc introduit SSL et HTTPS. Cependant, nous avons découvert plus tard que les pirates compromettaient la base de données et volaient les mots de passe. Nous avons donc commencé à stocker des hachages de mots de passe, mais nous avons ensuite découvert qu'après avoir volé les hachages, les pirates pouvaient utiliser la force brute pour déchiffrer les mots de passe. Nous avons ensuite introduit la rotation des mots de passe afin que lorsqu'un pirate force brutalement, le mot de passe change. Telles ou telles attaques et défenses sont constamment mises en scène. (Blue Fox Notes : SSL est un protocole qui assure la sécurité des communications réseau. Le protocole SSL est situé entre le protocole TCP/IP et le protocole de la couche application, et crypte les connexions réseau. HTTPS ajoute SSL à HTTP.) BM : Toujours à la recherche de manières de contribuer à la communauté EOS : Aujourd'hui, les internautes de Twitter ont demandé à BM (Daniel Larimer) s'il essaierait de s'appuyer sur EOS, et BM a répondu : "Je cherche toujours des moyens de contribuer à la communauté EOS, Et d'offrir la liberté et décentralisation que beaucoup d'entre nous souhaitent. » Nouvelles précédentes, le 11 janvier, le fondateur d'EOS, BM, a démissionné de son poste de directeur de la technologie de Block.one. [2021/1/16 16:18:37] Les entreprises dépensent des milliards de dollars pour sécuriser leurs serveurs et leurs bases de données, et malgré ces efforts, il n'existe toujours pas de moyen simple d'auditer les systèmes et de s'assurer que les entreprises fonctionnent comme elles le souhaitent. Block.one construit un logiciel blockchain pour sécuriser les bases de données et les comptes d'utilisateurs contre les accès non autorisés et les modifications non comptabilisées. Lors de l'utilisation de la blockchain, les utilisateurs utilisent des clés privées hautement sécurisées qui sont stockées sur du matériel sécurisé et sont utilisées pour signer chaque interaction de l'utilisateur, plutôt que de simplement vérifier une connexion à un serveur. (Remarque Blue Fox : Block.one est la société qui développe le logiciel EOSIO) La blockchain crée un journal immuable, qui crée un ordre absolu et déterministe, reçoit les entrées de l'utilisateur et les contrats intelligents fournissent une logique métier déterministe pour garantir la cohérence de tout le système. Block.one of the future crée des moyens d'éliminer les mots de passe et les audits coûteux, permettant aux entreprises d'économiser des milliards de dollars, empêchant le vol d'identité et offrant une plus grande fiabilité et vérifiabilité à tous. Je suis fermement convaincu depuis de nombreuses années que chaque site Web multi-utilisateurs peut bénéficier d'un backend blockchain. Contrairement à la croyance populaire, les chaînes de blocs ne doivent pas nécessairement être des bases de données lentes et inefficaces, et elles ne fonctionnent pas nécessairement sur une base résistante à la censure et en libre accès. Même si la blockchain est entièrement exploitée par l'entreprise elle-même et que tout le contenu de la blockchain est privé, la blockchain peut apporter aux entreprises d'énormes améliorations en matière de sécurité, d'auditabilité, de transparence et d'intégrité des processus métier. Cet article vise à faire la lumière sur la véritable valeur de la blockchain dans un environnement d'entreprise et à montrer la voie à suivre pour l'industrie de la blockchain. Voix | BM : Essentiellement, nous ne possédons rien, tous les logiciels doivent être autorisés par ceux qui sont au pouvoir : BM a tweeté hier soir : Il est temps de recommencer à acheter des livres physiques, dans le monde numérique, il est trop facile de brûler des livres . Vous devez supposer que vous ne possédez/contrôlez rien sur votre téléphone. Nous sommes de plus en plus sur une voie où tous les logiciels sont "licenciés" par ceux au pouvoir. Il a également déclaré: Ce qui se passe aujourd'hui, c'est que YouTube censure le contenu crypté, demain ce sera peut-être Amazon qui censure les livres. Dépêchez-vous et obtenez les livres que vous voulez avant qu'ils ne soient interdits.Puis BM a publié sa liste de lecture recommandée 2020 sur Twitter. [2019/12/28] Idées fausses courantes Dans l'industrie de la blockchain, la perception de nombreuses personnes est que la blockchain ne peut apporter des avantages que lorsqu'elle relie des parties qui ne se font pas confiance. Ils pensent que la technologie de base de données traditionnelle peut déjà faire tout ce qui est nécessaire pour garantir l'intégrité de l'entreprise. En d'autres termes, ils pensent que la réplication traditionnelle des bases de données et les garanties "d'intégrité des données" sont suffisantes. Dans le processus, ils ignorent ou ne comprennent pas les garanties de sécurité et d'intégrité fondamentalement différentes que les chaînes de blocs fournissent : Engagement envers l'ordre mondial du temps Exécution déterministe de la logique métier Couplage étroit de la logique métier et de l'intégrité des données Dans l'architecture des applications métier de , l'entreprise la logique est séparée de la base de données. Il existe généralement un serveur d'application, tel que Node.js ou J2EE, qui fournit le mot de passe pour modifier la base de données. Le rôle du serveur Node.js est d'authentifier les utilisateurs via des mots de passe ou des mécanismes d'authentification multi-facteurs. Une fois que le serveur d'applications authentifie l'utilisateur, il émet un jeton de session, qui est utilisé pour authentifier les futures interactions de l'utilisateur, jusqu'à ce que la session expire ou qu'un élément de la session (tel que l'IP) change. Évidemment, cette conception traditionnelle effectue toutes les opérations de base de données via un seul identifiant/mot de passe géré par le serveur d'application. Le serveur d'application est responsable de l'application de son propre schéma d'authentification avec l'utilisation finale. De plus, évidemment, plusieurs parties ont généralement accès aux noms d'utilisateur et aux mots de passe. Les administrateurs de base de données peuvent attribuer et révoquer des informations d'identification à de nombreux serveurs d'applications et/ou individus différents. Voix | BM : Grâce aux appels téléphoniques, au Bluetooth et au cryptage (applications), nous pouvons diffuser et reproduire ces messages authentifiés : selon MEET.ONE, BM a activement interagi avec les membres de la communauté dans le groupe de télégrammes vocaux ce matin, en parlant d'informations Sujets de diffusion : 1. Si nous ne pouvons transmettre que des messages via Bluetooth, combien de personnes participeront à la diffusion ? Je pense que les gens seront trop paresseux pour passer le mot et s'en désintéresser. 2. Plus tard, un membre a répondu : Tu veux dire le vrai contact entre les gens ? BM : Oui, dans la communication, il y a un besoin de transmettre (l'information) et un besoin de recevoir (l'information). Certaines personnes seront les producteurs d'informations et d'autres seront les récepteurs d'informations 3. Imaginez comment l'information circulait avant Internet et devait être transmise par le biais de bibliothèques, de fichiers et d'autres médias. Désormais, avec la téléphonie, le Bluetooth et le cryptage (applications), nous pouvons propager et répliquer ces messages authentifiés. [14/06/2019] Les systèmes avancés garantissent que chaque serveur d'applications possède son propre nom d'utilisateur/mot de passe dans un système mis à l'échelle horizontalement et, dans certains cas, il peut même utiliser une infrastructure à clé publique (PKI) et des modules de sécurité matériels (HSM). Cependant, même ici, la base de données authentifie uniquement la connexion au serveur d'application. Afin de fournir des journaux d'audit, il doit enregistrer l'intégralité du flux de données d'une connexion sécurisée. Cependant, même si ce journal n'enregistre que les "lectures et écritures" demandées par le serveur d'applications, le serveur d'applications a perdu toutes les informations sur l'intention d'origine de l'utilisateur. Un auditeur examinant un tel système n'a aucun moyen de savoir si le serveur d'applications (comme Node.js) suit la logique métier correcte et authentifie correctement l'utilisateur final. Le processus Node.js peut "enregistrer" les opérations de l'utilisateur dans la base de données, afin que les auditeurs puissent essayer de reproduire le même calcul, mais cet enregistrement lui-même n'est pas infalsifiable, et ne vient pas avec une authentification vérifiable indépendante, et ne peut pas vérifier la fin utilisateur Indique si l'opération qu'il enregistre est réellement autorisée. Voix | BM : Nous pouvons avoir une nouvelle architecture de machine virtuelle qui s'étend au-delà de WASM : Selon MEET.ONE, le 30 mai, BM a continué à communiquer avec la communauté dans le groupe de télégrammes, et les membres de la communauté ont interrogé BM sur l'espace Crypto. Sa réponse : Je pense que Vitalik est très intelligent, mais les produits intelligents et lancés doivent être considérés séparément. Autant que je sache, il est possible de convertir EOSIO en PoW, et peut fournir des tps et une disponibilité plus élevés que ETH, mais passer trop de temps à dénigrer DPOS pour ignorer tout le reste. DPOS est défectueux, tout comme PoW. BM pense que lorsque l'ETH passera à WebAssembly, nous aurons une nouvelle architecture de machine virtuelle qui pourra être étendue au-delà de WASM, qui a une vitesse de fonctionnement limitée. Nous étudions de nombreuses possibilités. Beaucoup de gens se concentrent tellement sur la mise à l'échelle via le sharding qu'ils oublient la mise à l'échelle grâce à une bonne efficacité de l'ingénierie logicielle. [2019/5/30] Il est possible d'essayer de consigner la connexion de chaque utilisateur, mais comme les utilisateurs transmettent souvent des mots de passe via de telles connexions, ces journaux finiront par créer des pots de miel pouvant entraîner la fuite des informations d'identification de l'utilisateur. (Remarque Blue Fox : Honeypot signifie un endroit riche que les pirates aiment attaquer) Un système plus responsable peut crypter ces journaux afin que seuls les auditeurs puissent les lire. En supposant que le journal d'audit n'a pas été falsifié, l'auditeur doit exécuter la même séquence d'opérations via la logique d'application pour vérifier que l'état de la base de données résultant correspond. Cela signifie que les serveurs d'applications doivent être implémentés de manière déterministe. L'informatique déterministe n'est pas facile Bien qu'écrire du code déterministe puisse sembler "facile", en fait, tous les langages informatiques à usage général sont non déterministes car ils permettent aux développeurs d'accéder à des données externes stockées dans des bases de données. Cela peut être quelque chose d'aussi simple qu'un horodatage, une adresse mémoire, une variable d'environnement, une adresse IP ou d'autres données plus subtiles telles que le comportement de la virgule flottante sur le matériel ou l'ordre d'insertion d'une table de hachage. Voix | BM : REX aura le droit de vote, mais il n'a pas encore été mis en œuvre : selon les rapports d'IMEOS, BM a répondu au problème selon lequel REX n'a ​​pas de droit de vote après avoir publié aujourd'hui un nouvel article dans le groupe URI, affirmant que REX aura droits de vote, mais il n'a pas encore été mis en œuvre. [2018/9/17] Dans de nombreux cas, il suffit d'accéder aux variables en mémoire d'un serveur d'applications de longue durée pour introduire le non-déterminisme. L'opération réelle de démarrage/arrêt du serveur d'application doit être enregistrée et reproduite, sinon chaque accès à la mémoire locale peut être non déterministe lors de la relecture. La vérité est que l'écriture de code déterministe est un défi pour les meilleurs développeurs qui sont formés aux pièges courants et recherchent activement le non-déterminisme. Un développeur d'applications métier typique trouvera difficile ou peu pratique d'écrire du code de manière déterministe. Si nous allons encore plus loin et supposons que le code d'application est déterministe, de sorte que les applications enregistrent fidèlement les événements des utilisateurs, nous sommes toujours confrontés au défi de savoir quelle version du code a été déployée à un moment donné. Les applications sont dynamiques et fréquemment mises à jour, de sorte que le code de l'application lui-même doit également faire partie de l'état de la base de données, et ses mises à jour doivent être gérées et enregistrées avec la même sécurité et auditabilité que les actions de l'utilisateur. Après cela, les auditeurs ont besoin de copies de toutes les versions du code du serveur d'applications et doivent rejouer les entrées de l'utilisateur pour chaque mise à niveau de version (et redémarrer le code à chaque redémarrage dans le passé). Même si un seul serveur d'applications pouvait fonctionner de manière déterministe en termes de mise en œuvre et de déploiement, il serait toujours confronté à des problèmes d'évolutivité importants. Une seule instance du serveur d'applications peut s'exécuter sur la base de données. L'accès parallèle est obtenu via des verrous complexes, mais même les conditions de concurrence sur les verrous doivent être documentées et reproduites, sinon deux instances de logique d'application avec des variables locales différentes peuvent produire une sortie non déterministe. À ce stade, on pourrait essayer d'éliminer complètement le déterminisme, mais sans déterminisme, de petites variances peuvent s'aggraver avec le temps et éventuellement conduire à de grandes variances dans les ensembles de données. Les auditeurs seront obligés d'utiliser la logique floue et l'appariement approximatif, et tout le monde devra croire que cette "logique floue" est suffisante. Bien sûr, la seule façon d'annuler tous les efforts d'écriture et de déploiement de code déterministe est que le DBA modifie le code directement et sans que personne ne s'en aperçoive. Dans certains cas, une mise à jour minutieuse des journaux et de l'état des entrées utilisateur peut créer deux états de base de données différents, chacun réussissant des tests déterministes, mais ayant toujours des sorties différentes et inconciliables. Par exemple, supposons qu'un professeur soumette la note F d'un étudiant au système, et que l'étudiant pirate ou corrompe ensuite la base de données et modifie sa note ainsi que le journal de la soumission du professeur. Remplacement des mots de passe Le but ultime de tout système multi-utilisateur soucieux de l'intégrité est de s'assurer que l'entrée de l'utilisateur ne peut pas être falsifiée. L'utilisation d'un nom d'utilisateur/mot de passe, ou même d'une autre authentification multifacteur comme SMS ou Google 2FA, repose sur le serveur pour conclure que les mots de passe correspondent ou que le bon code SMS/lien e-mail/code 2FA a été saisi. De toute évidence, c'est un énorme problème pour l'intégrité du système, et je vais donner un exemple concret de la gravité de ces systèmes. En 2016, mon compte sur un échange crypto a été piraté, ce qui a permis aux pirates de voler des dizaines de milliers de dollars de Bitcoin. De mon point de vue, le piratage a d'abord montré un e-mail de "réinitialisation du mot de passe" envoyé à mon adresse e-mail, puis un autre e-mail indiquant que le mot de passe avait été réinitialisé avec succès. Par la suite, un e-mail a été reçu demandant la confirmation du retrait des bitcoins (code/lien ci-joint). Enfin, j'ai reçu une notification indiquant que le retrait était terminé. À première vue, il semblait que l'e-mail avait été piraté, mais étant donné que j'avais une connexion multifacteur sur mon e-mail, il était peu probable qu'il ait été piraté. Un rapide coup d'œil à ma page de sécurité de messagerie montre, et aucun accès non autorisé. Je le sais parce que Google enregistre et affiche toutes les adresses IP/appareils accédant à mon courrier électronique. Et ce qui s'est passé ici, c'est que l'attaquant a intercepté l'e-mail de l'échange avant même qu'il n'atteigne ma boîte aux lettres. Le serveur d'application n'a aucun moyen de savoir que le courrier a été intercepté, il est donc uniquement basé sur l'attaquant ayant le code à usage unique généré par le serveur d'application pour réaliser l'autorisation de réinitialisation et de retrait du mot de passe. La même chose pourrait potentiellement être exploitée contre les SMS ou toute autre technologie qui repose sur des clés privées non contrôlées par l'utilisateur. En fin de compte, la seule façon de sécuriser les comptes d'utilisateurs est de faire en sorte que tous les utilisateurs adoptent des clés privées basées sur le matériel comme identifiants de connexion, combinées à un processus robuste et long pour faciliter les réinitialisations sécurisées des clés matérielles si elles sont perdu..{ }

Tags:

Meilleur échange Ethereum
Bénéfice net de 28,2 milliards d'euros pour l'année 2019 de Ping An Bank : de l'intelligence à la numérisation complète

Selon des informations sur les graffitis financiers, la conférence annuelle sur les performances de la Ping An Bank (000001) 2019 s'est tenue hier (14 février) à la tour sud du siège social de la Ping An Bank.

Golden Observation | Vous pouvez également avoir votre propre poignée de main de nom de domaine de premier niveau pour le savoir

Vous vous souvenez du célèbre stack Web3 de Multicoin Capital ? Le système de noms de domaine décentralisé est l'une des piles d'infrastructure Internet sous Web3.

L'IRS ne considère pas du tout le bitcoin comme une monnaie virtuelle

L'IRS a supprimé les références à la monnaie du jeu comme exemple de monnaie virtuelle convertible sur son site Web.

BM : Pourquoi la blockchain est-elle une meilleure architecture de serveur d'application/base de données ?

(Night, Van Gogh) Avant-propos : Il existe des problèmes de sécurité dans l'architecture des applications Web traditionnelles. Afin d'assurer un niveau de sécurité plus élevé.

Lecture recommandée d'or | À quoi s'attendre de Voice, qui sera lancé demain ?

Le 14 février 2020, jour de la Saint-Valentin, le développeur EOS Block.one publiera la version bêta du média blockchain Voice.Le 13 février.

Effet Saint Valentin ? Les données historiques montrent que le Bitcoin augmente généralement aujourd'hui

Il y a eu des analyses dans le passé où certains jours de la semaine offrent aux investisseurs la possibilité de rendements inhabituels. Par exemple.

ads