MyEtherWallet 事件后續(xù),慢霧安全團(tuán)隊強(qiáng)烈建議所有數(shù)字貨幣交易所、在線錢包等項目嚴(yán)格審計自己的 HSTS 配置是否足夠正確。 可以通過
MyEtherWallet 事件后續(xù),慢霧安全團(tuán)隊強(qiáng)烈建議所有數(shù)字貨幣交易所、在線錢包等項目嚴(yán)格審計自己的 HSTS 配置是否足夠正確。 可以通過國際權(quán)威的 SSL 安全測試平臺 鏈接:SSL Server Test (Powered by Qualys SSL Labs) 來進(jìn)行完整測試,盡量接近 A+ 安全等級。 注:HSTS 全稱 HTTP Strict Transport Security,是瀏覽器支持的一個 Web 安全策略,如果開啟了這個配置,瀏覽器發(fā)現(xiàn) HTTPS 證書錯誤后就會強(qiáng)制不讓用戶繼續(xù)訪問。 此次 MyEtherWallet DNS 被劫持攻擊導(dǎo)致上百用戶至少 500 多枚以太幣被盜,官方并沒正確意識到自己的失誤:HSTS 安全配置的缺失。 慢霧安全團(tuán)隊發(fā)現(xiàn) HSTS 安全配置在流行的數(shù)字貨幣交易所、在線錢包等普遍缺失,為了避免未來出現(xiàn)同樣的安全問題,強(qiáng)烈建議盡快自查并完成安全加固。