MyEtherWallet 事件后续,慢雾安全团队强烈建议所有数字货币交易所、在线钱包等项目严格审计自己的 HSTS 配置是否足够正确。 可以通过
MyEtherWallet 事件后续,慢雾安全团队强烈建议所有数字货币交易所、在线钱包等项目严格审计自己的 HSTS 配置是否足够正确。 可以通过国际权威的 SSL 安全测试平台 链接:SSL Server Test (Powered by Qualys SSL Labs) 来进行完整测试,尽量接近 A+ 安全等级。 注:HSTS 全称 HTTP Strict Transport Security,是浏览器支持的一个 Web 安全策略,如果开启了这个配置,浏览器发现 HTTPS 证书错误后就会强制不让用户继续访问。 此次 MyEtherWallet DNS 被劫持攻击导致上百用户至少 500 多枚以太币被盗,官方并没正确意识到自己的失误:HSTS 安全配置的缺失。 慢雾安全团队发现 HSTS 安全配置在流行的数字货币交易所、在线钱包等普遍缺失,为了避免未来出现同样的安全问题,强烈建议尽快自查并完成安全加固。