Scarica Status
Sicuro "by design"
Status mira ad essere uno strumento di comunicazione veramente decentralizzato - eliminando tutti gli intermediari e riducendo al minimo i vettori di attacco per gli attori malintenzionati.
Il vero vantaggio di Web3 è la capacità di effettuare transazioni e comunicare secondo i nostri termini, senza uomini di mezzo. Per godere di questo tipo di comunicazione gratuita, dobbiamo essere sicuri che i nostri messaggi, transazioni, identità e fondi siano sicuri e protetti. Ulteriori informazioni sull'approccio di Status alla sicurezza di seguito.
Sicurezza a Status
Messaggistica
sicura
I messaggi non vengono censurati, bloccati e rimangono anonimi se l'utente lo sceglie. Solo i destinatari previsti sono in grado di visualizzare i messaggi.
Transazioni Finanziarie Sicure
L'invio, l'archiviazione e la ricezione di criptovalute o token all'interno del portafoglio Status sono al sicuro dagli attacchi. Le chiavi private non vengono mai esposte. Le transazioni vengono elaborate solo quando vengono avviate e confermate dal proprietario delle chiavi private.
Navigazione
sicura
Durante la navigazione in Web3, i dati dell'utente finale e le informazioni di navigazione non sono accessibili a terzi senza il consenso. Qualsiasi transazione effettuata durante l'utilizzo del browser Status implementa gli stessi standard di sicurezza e le migliori pratiche utilizzate nel portafoglio Status.
Identità sicura
La tua identità in Status inizia con una coppia di chiavi crittografiche generata localmente, che viene poi protetta tramite una password. Questo è tutto ciò che è richiesto. L'utente ha la possibilità di aggiungere successivamente informazioni al proprio profilo per stabilire chi sono in Status. In ogni momento l'utente ha il pieno controllo sulle proprie informazioni e su chi ha accesso ad esse. L'utente finale può essere pubblico o privato come desidera.
Messaggistica senza server peer-to-peer
Status utilizza il protocollo Waku per la comunicazione peer-to-peer (p2p). Waku si basa su una rete di nodi per instradare i messaggi l'uno verso l'altro. Ogni messaggio inviato viene trasmesso all'intera rete e crittografato in modo che si apra solo al destinatario previsto. Rimuovendo i colli di bottiglia centralizzati, il contenuto dei messaggi e i metadati rimangono vostri. Tuttavia, Status e Waku non sono ancora completamente peer-to-peer, poiché i mailserver vengono utilizzati per gestire i messaggi quando un nodo è offline. Un mailserver Waku è un'estensione Waku che memorizza i messaggi e li consegna quando il destinatario torna online.
Crittografia end-to-end per impostazione predefinita
Tutti i messaggi privati inviati su Whisper sono crittografati end-to-end per default. Quando si crea un account Status, viene generata una coppia di chiavi crittografiche per crittografare i messaggi e archiviati localmente nel dispositivo. Quando si aggiunge un nuovo contatto in Status, si scambiano chiavi pubbliche in modo che tale utente possa decrittografare i messaggi quando viene ricevuto in rete.
Segretezza perfetta nell'inoltro
PFS è una funzionalità di specifici protocolli di accordo sulle chiavi che fornisce garanzie che le chiavi di sessione non verranno compromesse anche se le chiavi private dei partecipanti sono compromesse. In particolare, i messaggi precedenti non possono essere decrittografati da terzi che riescano a ottenere una chiave privata. Si basa sulle specifiche X3DH e Double Ratchet di Open Whisper Systems, con alcuni adattamenti per operare in un ambiente decentralizzato. L'uso del Perfect Forward Secrecy è un ulteriore livello di sicurezza per garantire che tutte le tue chat (tra te è un altro utente) siano private.
Generazione di account pseudo-anonimo
Quando crei un nuovo account su Status, non ti verrà mai richiesta la verifica di identità come un indirizzo email o un numero di telefono. Ciò significa che è possibile iscriversi e creare un account Status in modo completamente anonimo. Quando crei un account, sei semplicemente tu e le tue chiavi. Ciò significa anche che l'autenticazione a due fattori e il recupero della password non sono caratteristiche all'interno di Status, quindi assicurati di ricordare la tua password e la frase mnemonica e di memorizzarli offline in un luogo estremamente sicuro.
Come vengono memorizzate le chiavi?
Status non utilizzerà mai servizi di intermediari per la gestione e l'archiviazione delle chiavi pubbliche e private. Una volta generata, la prima chiave BIP44 viene salvata in un file json del keystore localmente sul dispositivo. Questo file è crittografato con la password scelta per il tuo account Status ed è accessibile solo dall'app Status. Diamo la priorità alla memorizzazione di informazioni riservate in hardware sicuro quando sono disponibili sul tuo dispositivo.
Per un ulteriore livello di sicurezza, abbiamo introdotto Keycard che funge da cold storage offline per la gestione delle chiavi private e le loro operazioni.
Per ulteriori informazioni sulla Keycard, visitare keycard.tech .
Navigazione sicura
Il browser Status è progettato per mantenere l'utente finale informato e i loro fondi al sicuro. La modalità Privacy del browser è abilitata per default. Ciò significa che le DApp saranno tenute a chiedere l'autorizzazione prima di connettersi al portafoglio e potrebbe causare l'interruzione di alcune DApp (se non sono compatibili con questa misura di sicurezza). Infine, il browser Status implementa EIP712 che mira a migliorare l'usabilità della firma dei messaggi off-chain per l'utilizzo on-chain. Stiamo assistendo a una crescente adozione della firma dei messaggi off-chain in quanto consente di risparmiare gas e riduce il numero di transazioni sulla blockchain. I messaggi attualmente firmati sono una stringa esadecimale opaca visualizzata all'utente con scarso contesto sugli elementi che costituiscono il messaggio.
Ulteriori informazioni sull'EIP
In che modo Status protegge la mia criptovaluta?
Status è creato con un portafoglio non detentivo, che ti dà il pieno controllo sui tuoi fondi senza l'uso di un server. Le chiavi private vengono archiviate in modo crittografato sul dispositivo. I tuoi soldi sono sotto il tuo controllo e non sono accessibili a nessuno senza la chiave privata. Pertanto, se perdi la tua frase mnemonica, non sarai mai in grado di ripristinare l'accesso ai tuoi fondi. Quindi mantieni le tue chiavi private da qualche parte offline in modo sicuro.
Frase di firma per la protezione da attacchi di phishing
Status implementa una frase di firma richiesta per confermare e "firmare" tutte le transazioni. La frase di firma è una frase di 3 parole generata casualmente per te e memorizzata localmente sul tuo dispositivo che viene presentata ogni volta che tenti di inviare una transazione. Ti verrà presentata la tua frase di firma e ti verrà richiesto di accettarla prima che una transazione venga confermata. Se non riconosci le tue tre parole o non le presenti affatto, annulla la transazione, esci da Status e segnala il problema a security@status.im
Controllo rigoroso
Quando raggiungiamo degli obiettivi pianificati nello sviluppo di Status, dopo cicli di revisione e audit interni, ci rivolgiamo a società indipendenti, leader del settore, per verificare la nostra buona condotta e controllare due / tre volte il lavoro che facciamo. Questi audit di sicurezza non sono garanzie di sicurezza intrinseca nei progetti a cui si riferiscono. Sono una forma aggiuntiva, garantita da Società indipendenti, di rafforzare la fiducia nella sicurezza della funzionalità che è stata sviluppata.
Per informazioni e dettagli su tutti gli audit esterni, consultare security repository .
Se trovate un bug o una vulnerabilità nel nostro codice, vi preghiamo di segnalarlo a security@status.im.
Insegna a te stesso a stare al sicuro
Prodotti decentralizzati e senza server come Status rimuovono una serie di intermediari non necessari, consentendoti di chattare, effettuare transazioni e navigare senza timore di sorveglianza, censura e perdita di dati. Questo perché hai il controllo dei tuoi dati e della tua sicurezza digitale. Pertanto, è importante che tu capisca come proteggerti. Scopri di più su come rimanere al sicuro con questa guida alle best practice per la sicurezza di Status.
Consulta la guida alle procedure consigliate
Supporto per la sicurezza
Siamo qui per aiutarti. In caso di domande o dubbi sulla sicurezza, invia un messaggio di posta elettronica a security@status.im o contattarci nel canale pubblico Security di Status #status-security.
Programma di ricompense per segnalazione Bug
Se sei un ricercatore di sicurezza o uno sviluppatore e vuoi segnalare una vulnerabilità, contatta security@status.im per aver diritto alle ricompense del programma di ricerche Bug di Status. Abbiamo anche una campagna con HackerOne, un programma di premi per chi trova bug che incentiva gli hacker a studiare il codice dei progetti. Stiamo attivamente intensificando la nostra campagna privata, e la aprirà presto al pubblico! Per ulteriori informazioni sul programma di ricompense, contatta security@status.im.
Il Security Audit su Status di Deja Vu
Proteggiti
Status è costruito con una tecnologia all'avanguardia per garantire che il prodotto sia il più sicuro possibile. Quando si tratta di navigare in Web3, si ha il controllo. Consulta il nostro elenco di procedure consigliate sulla sicurezza e prendi il controllo.
