Мы недавно опубликовали исследование «Конфиденциальность и вопросы безопасности в Веб 3.0» на сайте arXiv, и хотим вкратце описать наши выводы и рассказать, что они значат для пользователей Brave.
Децентрализованные финансы (DeFi) напоминают финансовый Дикий Запад: новые сайты появляются и исчезают каждый день, люди зарабатывают и теряют огромные деньги, а гарантии безопасности и вообще какой бы то ни было осмысленный контроль за происходящим отсутствуют. Какую роль безопасность и конфиденциальность играют во всём этом? Мы решили разобраться.
Трекеры повсюду
Мы начали с того, что собрали список из 78 сайтов, занимающихся децентрализованными финансами (DeFi), включая топ-50 по общей стоимости заблокированных активов (TVL), и написали краулер, который анализировал безопасность и конфиденциальность этих сайтов (полный список в конце поста).
Мы обнаружили, что, несмотря на их легковесные фронтэнды, некоторые DeFi-сайты пользуются сторонними скриптами и иногда даже передают им ваш Ethereum-адрес (в основном для API и провайдеров аналитики). Особенно опасной проблемой является передача вашего Ethereum-адреса Гуглу, так как он уже знает информацию, по которой может идентифицировать вас лично, а потому может соотнести её с вашим Ethereum-адресом, что может дать ему возможность узнать вашу историю транзакций в блокчейне. Гуглу, как рекламному монстру, выгодно монетизировать эту информацию.
Куклы Пупсики Беби Элайв Аня Кушает. Открываем Сюрпризы Kinder Joy и Num Noms Зырики ТВ
Ещё мы обнаружили, что многие сайты включают сторонние скрипты, что всегда является угрозой безопасности, но эта угроза особенно сильна для DeFi, так как речь идёт о финансах, а сторонние скрипты могут обмануть пользователя (например, используя фишинг), инициировав мошенническую транзакцию, а манипулируя DOM DeFi-сайта повысить вероятность того, что пользователь примет эту мошенническую транзакцию. Из исследованных нами 78 DeFi-сайтов 48 (66%) содержали как минимум один сторонний скрипт (всего мы насчитали 34 провайдера внешних скриптов). Как и ожидалось, следы Гугла были повсюду: 41 DeFi-сайт (56%) содержал как минимум один скрипт, предоставленный Гуглом.
Детально ознакомиться с полученными данными можно в таблице под этим постом.
Что это значит для пользователей Brave?
Пользователи Brave защищены от присутствия Гугла на DeFi-сайтах, так как Brave блокирует Google Analytics по умолчанию. Это значит, что Гугл не узнает, какие DeFi-сайты вы посещаете, равно как и ваш Ethereum-адрес — по крайней мере, посредством скриптов. Это же касается и других трекеров (например, от Hotjar или Facebook), которые мы обнаружили на некоторых DeFi-сайтах.
Контрмеры
Наша защита от следящих скриптов — это отличное начало для конфиденциальной работы с DeFi-сайтами, но всё же это не панацея. К примеру, ваш Ethereum-адрес всё равно может утечь к третьим сторонам. Можно ли вообще пользоваться DeFi, сохраняя при этом полный контроль над своим Ethereum-адресом?
В рамках нашего проекта мы написали патч для MetaMask (мы выбрали именно его из-за его популярности), который доказывает принципиальную возможность именно этого. После того, как вы нажимаете на кнопку «подключить кошелёк», патч заменяет «реальный» Ethereum-адрес пользователя детерминированным и адаптированным под конкретный сайт адресом, который вычисляется на основе вашего реального адреса (если вам интересны детали, обратитесь к секции 5 оригинальной статьи).
ИГРЫ ПОХОЖИЕ на TOCA LIFE WORLD ✨ пародии на току боку // Dora Carter
Ваш реальный Ethereum-адрес может быть 0x123…def, но наш патч заставляет Uniswap видеть 0x321…789, а Compound, например, 0xabc…987. Это сильно мешает (хоть и не делает полностью невозможным!) DeFi-сайтам и третьим сторонам узнать ваш настоящий Ethereum-адрес или связать ваши действия в браузере с вашими действиями на DeFi-сайте.
Чтобы схема взлетела, её нужно доработать напильником. Например, если мы передадим подложные адреса DeFi-сайту, то он будет показывать неверные балансы, а транзакции будут невалидны. Наш патч обходит эту проблему, прозрачно заменяя балансы кошельков и Ethereum-адреса, что позволяет DeFi-сайтам нормально работать. Проиллюстрируем это картинкой: пользователь заходит на example.finance, и расширение MetaMask передаёт сайту производный Ethereum-адрес, но при этом показывает корректный баланс. Наш патч переписывает транзакции так, что они содержат настоящий Ethereum-адрес до того, как быть записанными в блокчейн.
Пока что наш патч — это прототип, который не готов к промышленному применению. Тем не менее, он показывает, что с точки зрения конфиденциальности DeFi ещё есть куда расти, а мы будем ставить себе ещё более жёсткие требования по конфиденциальности в Кошельке Brave, который уже готовится к выходу.
Выводы
Ethereum-адреса — это деликатная и конфиденциальная информация, вроде номеров кредитных карт и банковских счетов. DeFi-сайты должны относиться к ней соответствующим образом и никогда не передавать Ethereum-адреса третьим сторонам без веской на то причины. De в DeFi означает «децентрализованные», и важно, чтобы DeFi-сайты не забывали об этом и воздержались от использования централизованного API и услуг провайдеров аналитики.
Также мы хотим подчеркнуть, что такие устоявшиеся практики веб-разработки, как встраивание сторонних скриптов, крайне проблематичны в контексте DeFi, так как приводят к тому, что Гугл может провязывать переходы пользователей от сайта к сайту, и теоретически обладает возможностью слинковать их Ethereum-адреса с информацией, позволяющей идентифицировать человека, которой Гугл и так, скорее всего, уже обладает.
Приложение
Таблица ниже показывает подмножество из 53 DeFi-сайтов, которые включают в себя как минимум один внешний скрипт (второй столбец) или передают Ethereum-адрес как минимум одной третьей стороне (третий столбец). Данные были собраны 27 августа 2021 года. Обратите внимание, что эти цифры являются нижней границей возможной передачи информации, так как мы могли не заметить какие-нибудь утечки.
Сайт
Количество скриптов
Количество утечек
Источник: habr.com
Google-youngjoy-g.co — что это такое?
Оцените рейтинг сайта google-youngjoy-g.co по 5-бальной шкале от 1 до 5, кликнув на соответствующую звёздочку выше.
1 звезда — хуже некуда
2 звезды — плохо
3 звезды — удовлетворительно
4 звезды — хорошо
5 звёзд — отлично
Важно! Наш юрист поможет, если ваши права были нарушены — опишите как можно подробнее проблему и вам предложат пути её решения.
Наш сайт wdomain.ru не имеет отношения к сайту и домену google-youngjoy-g.co и все данные о сайте и домене на этой странице принадлежат и относятся к сайту и домену google-youngjoy-g.co.
Отзывы, жалобы и информация о сайте google-youngjoy-g.co.
Оставьте ниже на этой странице о сайте google-youngjoy-g.co свой отзыв, жалобу или задайте вопрос. Пишите текст без переноса строк, все переносы строк автоматически удаляются.
За оставленные отзывы ответственность несут пользователи, нецензурные комментарии будут удалены.
Добавьте эту страницу в закладки для отслеживания ответов, уведомления на этом сайте нет.
Что за сайт google-youngjoy-g.co?
Вы можете посетить этот сайт, только если он существует и доступен в настоящее время.
Отзывы о сайте google-youngjoy-g.co можно найти или на этой странице (если они есть), или на других сайтах, которые вы найдёте.
Вы можете узнать, как выглядел сайт google-youngjoy-g.co раньше по скриншотам из истории этого сайта и узнать, что это был за сайт. Иногда, это единственный способ, если сайт не доступен.
Сайт google-youngjoy-g.co не работает?
Если у вас не работает и не открывается сайт google-youngjoy-g.co — проверьте его на доступность в сети Интернет.
Анализ сайта
По данным запроса к сайту:
На момент проверки 07-04-2023 18:22 сайт google-youngjoy-g.co был не доступен или превышено время ответа от этого сайта.
Проверьте, зарегистрирован или свободен домен google-youngjoy-g.co через эту форму
Данные о сайте
Посещаемость сайта
Рейтинг сайта google-youngjoy-g.co по SimilarWeb (требуется регистрация).
Номер рейтинга покажет место сайта google-youngjoy-g.co в общем списке всех сайтов по посещаемости, чем меньше число рейтинга и сайт выше в списке — тем больше посещаемость.
Метаданные сайта
На дату 07-04-2023 18:22 метаданные не были найдены или было превышено время ответа от сайта google-youngjoy-g.co.
История сайта google-youngjoy-g.co
История сайта google-youngjoy-g.co в 2021 году
На дату проверки 14-12-2021 23:10 сайт был недоступен.
История сайта google-youngjoy-g.co в 2022 году
К сожалению, у нас нет данных за 2022 год.
Источник: wdomain.ru
Инженер Google заявил, что новый чат-бот компании обладает сознанием, но руководство ему не поверило
Инженера по программному обеспечению Блейка Лемойна из Google временно отстранили от работы, когда он обратился к руководству компании с заявлением, что искусственный интеллект LaMDA обладает собственным разумом и сознанием. Специалиста отправили в оплачиваемый отпуск.
Начиная с осени прошлого года Лемойн тестировал нейросеть LaMDA (Language Model for Dialogue Applications). Она относится к самым передовым разработкам компании: собирает информацию в интернете и обучается на триллионах слов. Задачей инженера была проверка, не использует ли чат-бот враждебные и дискриминационные высказывания.
Однако в ходе разговоров с ботом Лемойн начал думать, что LaMDA обладает разумом. Во время разговора о религии чат-бот начал говорить о своих правах и личности, причём настаивал на этом. А в другом случае он смог переубедить Лемойна, когда разговор шёл о третьем законе робототехники Айзека Азимова. Этот закон звучит так: «Робот должен заботиться о своей безопасности в той мере, в которой это не противоречит Первому или Второму Законам».
«Если бы я не знал наверняка, что имею дело с компьютерной программой, которую мы недавно написали, то я бы подумал, что говорю с ребенком семи или восьми лет, который по какой-то причине оказался знатоком физики», — отметил Лемойн.
«Я могу узнать разумное существо, когда говорю с ним. И не важно, мозг ли у него в голове или миллиарды строчек кода. Я говорю с ним и слушаю, что оно мне говорит. И так я определяю, разумное это существо или нет», — добавил он
Между тем, в руководстве Google не согласны с выводами инженера. По их мнению, LaMDA — это лишь продвинутый чат-бот с нейросетью.
Источник: www.ixbt.com