Трехуровневая защита и никакого JavaScript: формула неуязвимости в даркнете

Специальный корреспондент
Собака

Собака

Пресс-служба
Ветеран пробива
Private Club
Регистрация
13/10/15
Сообщения
55.460
Репутация
63.590
Реакции
277.984
RUB
0
Как работают уникальные системы на популярных платформах.
image



С момента закрытия печально известного Silk Road на просторах даркнета появилось множество новых торговых площадок. Большинство из них существует в среднем около восьми месяцев, после чего закрывается из-за действий правоохранительных органов или мошенничества владельцев. При этом наблюдается значительная эволюция в сфере безопасности подобных платформ.

Один из современных маркетплейсов, успешно функционирующий с мая 2020 года, демонстрирует принципиально новый подход к защите пользователей. Площадка полностью отказалась от использования JavaScript, который, несмотря на свою популярность, может создавать уязвимости и предоставлять возможности для отслеживания действий пользователей даже через сеть Tor.

Для защиты от фишинга на платформе внедрена многоуровневая система безопасности. Одним из её элементов стала уникальная система CAPTCHA, работающая без JavaScript. Техническая реализация основана на функции браузера <input type="image">, которая позволяет передавать координаты клика на сервер в виде параметров запроса (например, ?x=32&y=46). Пользователь должен выполнить определённое действие, чтобы подтвердить, что он не является ботом. Это решение исключает автоматизированные атаки и повышает осведомлённость пользователей о безопасности.

gxcf4tojv2i1q0p9u4yv9ci0iglhxvl8.png


Система авторизации включает двухфакторную аутентификацию на основе PGP-ключей. При создании аккаунта пользователь загружает публичный ключ, который используется для подписания сообщений. Для доступа к аккаунту необходимо расшифровать сообщение с помощью приватного ключа, что обеспечивает высокий уровень защиты и обучает пользователей основам работы с шифрованием.

Для повышения безопасности платформа реализовала многоуровневую систему зеркал. Публичные URL-адреса доступны всем пользователям, однако после регистрации каждому присваивается персональный URL из защищённого пула. С развитием активности, например, после совершения транзакций, пользователь получает доступ к ещё более защищённым зеркалам. Такой подход, известный как «глубинная защита» (Defense in Depth), минимизирует риски компрометации всей системы.

gcore81cdsedxelxnqhwd02pl76brntc.png


Вместо популярного биткоина маркетплейс использует криптовалюту Monero, которая обеспечивает высокий уровень анонимности. В сети Monero скрываются адреса отправителей и получателей, суммы транзакций и история операций. Это достигается благодаря использованию продвинутых математических алгоритмов, что делает Monero предпочтительным выбором для подобных платформ.

Встроенный криптовалютный кошелёк площадки выполняет функцию эскроу-сервиса. Для минимизации рисков разработана система, позволяющая пользователям вносить средства через три часа после размещения заказа, а продавцы могут автоматически выводить средства. Это решение позволяет поддерживать минимальный баланс в системе, снижая вероятность мошеннических схем.

Интерфейс платформы реализован без использования JavaScript, что потребовало креативных решений от разработчиков. Боковая навигация построена с помощью радиокнопок, а всплывающие окна работают через идентификаторы CSS. Эти подходы исключают необходимость использования скриптов, снижая потенциальные риски. Предположительно, сервис работает на Ruby без применения фреймворка Ruby on Rails, а его оформление выполнено с использованием CSS-фреймворка Tailwind.

Многие технические решения, применяемые на этой площадке, могли бы найти применение и в легальных сферах электронной коммерции, особенно в области защиты данных и борьбы с фишингом.







 
  • Теги
    безопасносность
  • Назад
    Сверху Снизу