MyEtherWallet 事件后續(xù),慢霧安全團(tuán)隊(duì)強(qiáng)烈建議所有數(shù)字貨幣交易所、在線錢(qián)包等項(xiàng)目嚴(yán)格審計(jì)自己的 HSTS 配置是否足夠正確。 可以通過(guò)
MyEtherWallet 事件后續(xù),慢霧安全團(tuán)隊(duì)強(qiáng)烈建議所有數(shù)字貨幣交易所、在線錢(qián)包等項(xiàng)目嚴(yán)格審計(jì)自己的 HSTS 配置是否足夠正確。 可以通過(guò)國(guó)際權(quán)威的 SSL 安全測(cè)試平臺(tái) 鏈接:SSL Server Test (Powered by Qualys SSL Labs) 來(lái)進(jìn)行完整測(cè)試,盡量接近 A+ 安全等級(jí)。 注:HSTS 全稱 HTTP Strict Transport Security,是瀏覽器支持的一個(gè) Web 安全策略,如果開(kāi)啟了這個(gè)配置,瀏覽器發(fā)現(xiàn) HTTPS 證書(shū)錯(cuò)誤后就會(huì)強(qiáng)制不讓用戶繼續(xù)訪問(wèn)。 此次 MyEtherWallet DNS 被劫持攻擊導(dǎo)致上百用戶至少 500 多枚以太幣被盜,官方并沒(méi)正確意識(shí)到自己的失誤:HSTS 安全配置的缺失。 慢霧安全團(tuán)隊(duì)發(fā)現(xiàn) HSTS 安全配置在流行的數(shù)字貨幣交易所、在線錢(qián)包等普遍缺失,為了避免未來(lái)出現(xiàn)同樣的安全問(wèn)題,強(qiáng)烈建議盡快自查并完成安全加固。