最近也多亏这件事情开始研究 IPFS,但目前感觉以静态跟分布式的特性来说的
确有机会抵挡DDoS,但撇除到时候有网页会有动态逻辑部分要怎么套用之外
我个人倒是比较担心安全存取上的问题
举例来说,目前 Brave 浏览器本身是可以解析 ipns:// 这种协定
假如安装完后再该浏览器输入 数位发展部网站 ipns://moda.gov.tw/
一开始会跳出选择使用本机 IPFS 节点
https://i.imgur.com/db3uhtz.jpg
进入该网页,透过 F12 看回传的回应,可以拿到网站根节点的 CID
https://i.imgur.com/r4wqMNl.jpg
因为在本机会开一个IPFS节点,所以可以输入 http://localhost:45005/webui 连到本机接口
https://i.imgur.com/WelOcTH.jpg
接着把刚刚 F12 看到的目录根节点贴进去,按下浏览
https://i.imgur.com/5dEYit0.jpg
就会把整个网站的资料拉出来
https://i.imgur.com/XhxBcwC.jpg
那现在问题就来了,万一不小心把一些机敏性资料乱上到IPFS上怎么办呢?
比方说现在的 assets 底下就莫名被塞了一个影片档
https://i.imgur.com/PrMyNZ6.jpg
然后可以点开来看,是一个八秒的影片
https://i.imgur.com/Sfpz727.jpg
本来以IPFS的分布式档案系统来说,放上去的东西都是公开的
但问题在于放上去的东西无法做存取的控管,而且也能够看到用 https 连网站看不到的档案
外加上到 IPFS 的档案无法删除,所以只要拿到这个影片的CID就会一直有效
所以个人研究结论觉得到底要怎么控管网页的上版,不要放到机密资讯
或是怎样实践认证授权机制,恐怕是导入这个技术也要思考的面向
要不然到时候防了 DDoS,结果演变成机密资料外泄,恐怕就不是原本所预期的效果~~
参考资料来源: https://www.samsonhoi.com/689/blockchain-ipfs-intro
※ 引述《gyGirl (妹)》之铭言:
: ※ 引述《TonyQ (得理饶人)》之铭言:
: : 来评论一下这件事情:
: : 1. 基本上其他的提问跟回答我觉得都中规中矩,
: : 除了看板那题的伤害有限,
: : 我还是没看到更具体的报告可以说明伤害有限。
: : 2. ipfs 算是一种解法,但是只限于很少的使用场景,
: : 理由是目前 ipfs 只支援纯静态的网站(有 js 效果但无外连也算静态)。
: : 所以拿 ipfs 说不卡,这个当玩笑可以,
: : 但实际上来说,政府要应付的问题远比这复杂多了 。
: : 我看起来比较算是个开玩笑。
: : 另外 ipfs 因为速度不够快跟稳定,
: 这个想法在面对中国的骇客攻击并不完全对
: 举这阵子的台大教务处为例
: 就算台大教务处把所有的图片存取连结都放在静态网站
: 一样可以做到图片全部变成五星旗
: 原因是静态网站虽然没有受到攻击也没有受到阻断
: 但是如果动态网页服务器被更改一样可以把首页图的连结改成来自中国的连结
: 访客看到的图片一样变成五星旗
: 静态网站一样好好的也没有受到更动
: 但是静态网站一般来说都可以应付较强的阻断式攻击ddos
: 也可以大量降低动态网页服务器被ddos时的负荷
: 这个几乎所有架站人包括政府单位都必须考虑的事情
: : 所以 cdn 会提供快取服务器来服务,
: : 这里应该也隐含了会使用 cdn 的服务来使用的基础。
: : (cdn 也会提供流量清洗的服务)
: cdn提供快取也只仅限于静态网站
: 动态的个人资料是没办法cdn的
: 就算硬要cdn也没有效益
: 而且cdn也会有延迟问题
: 像是大家都跑去看公路武岭监视器的串流
: cdn去把武岭的影像上传
: 结果大家拿到的影像变成cdn上的备份影像但是已经延迟了
: 之类的问题
: 只是一个硬要举的举例但是希望你能触类旁通
: 就是提示一件事
: cdn常常会提供错误的讯息这件事我常遇过
: 遇到一次就觉得对他们设计系统的人觉得很失望
: 还要想办法绕掉cdn
: : 这里的问题是,多数平台还是以 https 为主,
: : 要切换到 ipns 基本上需要很长的教育时间,
: : 且是不是有足够的量能可以支撑国民使用也是问题。
: : 所以,用 ipfs 解题,
: : 我个人认为起码在两年内都是干话。XD
: 公务单位使用ipfs处理这个我想不出有什么好处
: 比特币之所以区块链是因为有提供给区块链节点好处
: 就是挖矿的报酬
: 但是公务单位区块链化
: 请问你报酬要怎么给?
: 你要别人帮你架设节点总要给个好处吧
: 不然我开个主机电费算我的?
: 区块链化后还有节点挂掉的问题
: 几个主机挂了那就全部的政府网站都掰了
: 那我只能说推广这个东西就只是跟风炒作区块链的话题
: 为了创新而创新但事实上根本没有搞清楚新的技术上有哪些缺失
: 这种问题在一些青年技术社群很常见
: 作业系统永远都要用最新版、beta版
: 结果灌了最新版有bug
: 请问你要怎么办?
: 你要帮他修bug吗?
: 微软、ios、android的bug你修得了那你有办法发布吗?
: 区块链化真的不是一个好想法
: : 然后提到 web3 大家可能会想到的是区块链,
: : 但 ipfs 其实没有 block 哦,
: : 他技术上比较接近 bt 或驴子的协议,是 p2p 的档案协议,
: : 所以一样要有人当种子,要等供档。XDDD
: : 3. 安全习惯的不良很多来至于莫名其妙的规定,
: : 比方说逼公务员取他们记不起来的规则的密码,
: : 但是又不鼓励或提供密码管理器之类的服务。
: : 然后莫名其妙三个月还要更换一次,
: : 换到大家都不知道自己在记什么了。
: : 各种矫枉过正违反人性的资安策略,本身就是伤害资安的做法。
: : 安全是相对的,不是绝对的。
: : 另外很多公务机关的服务都是以机关为帐号权限管理,
: : 而不是以人为目标的权限管理,
: : 导致很多单位一个单位只有一个帐号,大家得分批共用。
: : 一旦帐号共用就很难谈资安跟管理了。
: 事实上并不是如此
: 以警政单位被骇为例
: 之前也有警察被抓到偷看拉拉队队员的资料
: 请问如果如你讲的每个人都用一个帐号那为什么抓得到?
: https://www.ettoday.net/news/20220710/2291301.htm
: 很多单位政风处私底下都会定期盘查哪些人员查看哪些资料
: 举例像警政、户政这些都会
: 如果柜台乱查别人的东西也是抓得到
: 此外公家单位规范密码的更新和避免过于简单的密码都是必要措施
: 你有架站经验但是应该不会惨到不知道有人会用程式去暴力破解密码
: 我们之去参加国内的骇客比赛
: 懒得解题直接用程式暴力破解出题电脑的登入
: 真的试出登入密码但是一登入马上就被踢出去
: 再登一次密码又不同了
: 这种做法其实很常见也很基础
: 就是为什么规定root密码不能用在远端登入
: 我想密码强制要求应该很基本的东西
: 你不规范每个人都设定为0000
: 这样你们外包厂商最方便了不是吗?
: 维修费也一定很惊人
: : 笔者有 15年软件工程师经验,
: : 曾开发基于 evm dapp 跟合约的应用系统。
: : 有兴趣的可以推文继续讨论。
: : 时代力量三重芦洲区议员参选人
: : 王景弘 TonyQ
: :