Bicong 早报：以太坊 dApp 浏览器采取措施提高钱包安全性

Paul Camechon 在 Medium 中写道：“出于对用户隐私的担忧，MetaMask 和其他 dApp 浏览器已承诺在 11 月 2 日停止向用户浏览器注入 Web3，这意味着它将需要一个新的 postMessage API。”

MetaMask 是一个以太坊钱包和 dApp 浏览器，允许用户访问分布式网络。 它自动注入带有网络实例和以太坊提供商的网页，使 dApp 能够访问区块链、访问用户帐户地址并提出交易建议。

隐私泄露可能导致资产流失

然而，现有的 dApp 浏览器包含用户隐私。 即使扩展被锁定，恶意网站也可以扫描注入的对象并跟踪以太坊用户。 这种攻击被称为“指纹识别”，使用户容易受到各种攻击。

例如，恶意玩家已经能够使用暴露的数据发起网络钓鱼活动和侵入性广告。 一旦扩展被解锁，恶意玩家还可以看到受害者的以太坊地址，他们可以从中获取交易历史、余额等隐私信息。

需要更新

以太坊 dApp 浏览器正在采取措施提高用户在访问 CryptoKitties 等区块链应用程序时的隐私和安全性。 | 资料来源：公理禅

为了保护隐私，dApp 浏览器（包括 MetaMask、imToken、Status 和 Mist）将需要更新现有的 dApp。

dApp 浏览器将不再在页面加载时自动注入 Web 实例或以太坊提供商。 dApp 必须从浏览器请求提供者，然后要求用户批准或拒绝访问以太坊区块链。 如果访问被批准，提供者将被注入到网页中。

用户将开始在 dApp 上看到更多“登录”按钮，其中一个将导致 MetaMask 弹出窗口要求用户授予网站访问其帐户信息的权限。 批准的网站将被缓存，直到用户的列表被清除。

Bouchon 指出，批准模式类似于要求访问用户的麦克风或摄像头。

以太坊用户将能够拒绝区块链访问他们认为不可信的网站。 这样，不需要的网站就无法在他们不知情的情况下将其作为目标。 相反，用户可以通过在批准后将提供商注入网页来控制他们的隐私。

开发人员需要经过批准的提供商

对于页面加载，开发人员将不再能够期望 Web3 实例或以太坊提供商已经在窗口上。 相反，dApp 将通过从浏览器发布消息来请求提供者。 dApp 必须注册才能在注入用户批准的提供程序时收到通知。 provider 会知道是否通过 window.ethereum 注入，provider 必须同时被要求。

对于 Web3.js API，将在用户批准后注入以太坊提供者，而不是 Web 实例。 需要 Web3.js 的 dApp 必须加载他们需要的特定版本在以太坊上开发dapp需要多久，而不是浏览器注入的版本。 在请求提供者时，仍然可以使用 Web3 标志注入 Web3 实例。

不保证请求后会注入Web3版本，仅推荐调试和开发方便。

Bouchon 指出在以太坊上开发dapp需要多久，这一改变对 MetaMask 来说是一个艰难的决定，但对于保护用户免受隐私侵犯是必要的。

MetaMask 认为它可以在提供以用户为中心的网络的同时保护隐私和安全。