Hem Web 1.0 hem de Web 2.0’da güvenlik modelleri, tamamen yeni ekonomilerin kilidini açmaya yardımcı olmak için uygulama mimarileriyle birlikte değişti. Web 1.0’da, Güvenli Yuva Katmanı (SSL), kullanıcı tarayıcıları ve bu sunucular arasında güvenli iletişim sağlamak için Netscape tarafından öncülük edildi. Google, Microsoft, Amazon gibi Güvenilir Web 2.0 aracıları ve sertifika yetkilileri, SSL’nin halefi olan Taşıma Katmanı Güvenliğinin (TLS) uygulanmasında merkezi bir rol oynadı.
Aynı şey web3 için de geçerli olacak. Yeni web3 güvenlik şirketlerine yatırım yapmanın temel nedeni budur. geçen yıl 10 kattan fazla artarak 1 milyar doların üzerine çıktı.
web3’ün başarısı, farklı uygulama mimarileri tarafından yaratılan yeni güvenlik zorluklarını çözmek için yeniliğe bağlıdır. Web3’te, merkezi olmayan uygulamalar veya “dApp’ler”, Web 2.0’da bulunan geleneksel uygulama mantığına ve veritabanı katmanlarına dayanmadan oluşturulur; bunun yerine, mantığı ve durumu yönetmek için bir blok zinciri, ağ düğümleri ve akıllı sözleşmeler kullanılır.
Kullanıcılar, yeni içerik yayınlama veya satın alma gibi verileri güncellemek için bu düğümlere bağlanan bir ön uca erişmeye devam eder. Bu etkinlikler, kullanıcıların, genellikle kullanıcı kontrolünü ve gizliliğini korumayı amaçlayan bir model olan bir cüzdanla yönetilen özel anahtarlarını kullanarak işlemleri imzalamasını gerektirir. Blok zincirindeki işlemler tamamen şeffaf, herkesin erişimine açık ve değiştirilemez (yani değiştirilemez).
Herhangi bir sistem gibi, bu tasarımın da güvenlik ödünleşimleri vardır. Blok zinciri, Web 2.0’da olduğu gibi aktörlere güvenilmesini gerektirmez, ancak güvenlik sorunlarını gidermek için güncellemeler yapmak daha zordur. Kullanıcılar, kimlikleri üzerinde kontrol sahibi olurlar, ancak saldırılar veya önemli güvenlik ihlalleri (örneğin, Web 2.0 sağlayıcılarının çalınan fonları nasıl geri döndürebileceği veya parolaları nasıl sıfırlayabileceği) durumunda başvuru sağlayacak hiçbir aracı yoktur. Cüzdanlar yine de bir Ethereum adresi gibi hassas bilgileri sızdırabilir – bu hala bir yazılımdır ve asla mükemmel değildir.
web3’ün başarısı, farklı uygulama mimarileri tarafından yaratılan yeni güvenlik zorluklarını çözmek için yeniliğe bağlıdır.
Bu değiş tokuşlar haklı olarak önemli güvenlik endişelerine yol açar, ancak web3 ivmesini engellememelidir ve pratik olarak konuşursak, pek olası değildir.
Web 1.0 ve Web 2.0 ile paralellikleri tekrar düşünün. SSL/TLS’nin ilk sürümlerinde kritik güvenlik açıkları vardı. Erken güvenlik araçları en iyi ihtimalle ilkeldi ve zamanla daha sağlam hale geldi. Web3 güvenlik şirketleri ve benzeri projeler Certik, forta, kaygan, ve güvenlik altına al orijinal olarak Web 1.0 ve Web 2.0 uygulamaları için geliştirilmiş kod tarama ve uygulama güvenliği test araçlarının eşdeğerleridir.
Ancak, Web 2.0’da güvenlik modelinin önemli bir kısmı yanıtla ilgilidir. İşlemlerin bir kez yürütüldükten sonra değiştirilemediği web3’te, ilk etapta işlemlerin gerçekleşip gerçekleşmeyeceğini doğrulamak için mekanizmalar oluşturulmalıdır. Başka bir deyişle, güvenlik, önleme konusunda son derece iyi olmalıdır.
Bu, web3 topluluğunun, kriptografik ilkellerden akıllı sözleşme güvenlik açıklarına kadar her şeyi hedefleyen yeni saldırı vektörlerini engellemek için sistemik zayıflıkları teknik olarak en iyi şekilde nasıl ele alacağını bulması gerektiği anlamına gelir. Paralel olarak, önleyici bir web3 güvenlik modelini geliştirecek en az dört girişim vardır:
Güvenlik açıkları için gerçeğin kaynağı verileri
Bilinen web3 güvenlik açıkları ve zayıflıkları için bir doğruluk kaynağı olması gerekir. Bugün, Ulusal Güvenlik Açığı Veritabanı, güvenlik açığı yönetimi programları için temel verileri sağlar.
Web3, merkezi olmayan bir eşdeğere ihtiyaç duyar. Şimdilik, eksik bilgi, aşağıdakiler gibi yerlere dağılmış durumda. SWC Kaydı, Rekt, Akıllı Sözleşme Saldırı Vektörleri ve DeFi Tehdit Matrisi. Tarafından çalıştırılanlar gibi hata ödül programları bağışıklık yeni zayıflıkları ortaya çıkarmak içindir.
Güvenlik karar verme normları
Web3’teki kritik güvenlik tasarımı seçimleri ve bireysel olaylar için karar verme modeli şu anda bilinmemektedir. Ademi merkeziyetçilik, hiç kimsenin sorunların sahibi olmadığı ve kullanıcılar için sonuçların önemli olabileceği anlamına gelir. Son Log4j güvenlik açığı gibi örnekler, güvenliği merkezi olmayan bir topluluğa bırakmak için uyarıcı hikayelerdir.
Merkezi olmayan özerk kuruluşların (DAO’lar), güvenlik uzmanlarının, Simya ve infurave diğerleri, acil güvenlik sorunlarını yönetmek için işbirliği yapar. Açık kaynak topluluklarının ne kadar büyük bir dünya oluşturduğuna dair uygulanabilir dersler var. OpenSSF ve CNCF danışma grupları ve güvenlik sorunlarının üstesinden gelmek için yerleşik süreçler.
Kimlik doğrulama ve imzalama
Bugün en önde gelenleri de dahil olmak üzere çoğu dApp API yanıtlarını doğrulamayın veya imzalamayın. Bu, bir kullanıcının cüzdanı bu uygulamalardan veri aldığında, yanıtın amaçlanan uygulamadan geldiğini ve verilerin bir şekilde tahrif edilmediğini doğrulamada bir boşluk olduğu anlamına gelir.
Uygulamaların en iyi temel güvenlik uygulamalarını kullanmadığı bir dünyada, güvenlik durumlarını ve güvenilirliklerini belirlemek, neredeyse imkansız olan bir görev olan kullanıcılara bırakılmıştır. En azından, riskleri kullanıcılara göstermek için daha iyi yöntemler olması gerekir.
Daha kolay, kullanıcı kontrollü anahtar yönetimi
Şifreleme anahtarları, kullanıcıların web3 paradigmasında işlem yapma becerisini destekler. Şifreleme anahtarlarının da düzgün bir şekilde yönetilmesi çok zordur; tüm işletmeler, anahtarları yönetme etrafında inşa edildi ve inşa edilmeye devam ediyor.
Özel anahtarların yönetimiyle ilgili karmaşıklık ve risk, kullanıcıları gözetimsiz cüzdanlar yerine barındırılan cüzdanları seçmeye iten başlıca husustur. Bununla birlikte, barındırılan cüzdanların kullanımı iki ödünleşime yol açar: Coinbase gibi web3’ün tamamen merkezi olmayan yönünden uzaklaşan yeni “aracılar” ile sonuçlanırlar; ve kullanıcıların web3’ün sunduğu her şeyden yararlanma yeteneklerini kısıtlarlar. İdeal olarak, daha fazla güvenlik yeniliği, kullanıcılara hem daha iyi kullanılabilirlik hem de hapis dışı senaryolar için koruma sağlayacaktır.
İlk iki girişimin daha çok insanlar ve süreçler etrafında odaklandığını, üçüncü ve dördüncü girişimlerin ise teknolojik değişiklikler gerektireceğini belirtmekte fayda var. Web3 güvenliğini çözmeyi zorlaştıran şey, yeni teknolojiyi, gelişmekte olan süreçleri ve çok sayıda kullanıcıyı uyumlu hale getirmektir.
Aynı zamanda, en cesaret verici değişikliklerden biri, web3 güvenlik inovasyonunun açık alanda gerçekleşmesidir ve bunun yaratıcı çözümlere nasıl yol açabileceğini asla hafife almamalıyız.
