看这篇文章: https://medium.com/@peter_szilagyi/augur-hijack-via-dormant-service-workers-bea254258f98
作者披露了通过休眠的网络工作人员对localhost-运行分散式应用程序的攻击。他在Augur平台的上下文中显示了它,但它适用于任何要通过localhost运行其界面的分散式应用程序。
现在可以理解,只有在攻击者设法将恶意Web服务器首先安装在目标计算机上之后再安装恶意服务工作者代码的情况下,攻击才有可能。有人会说这不太可能,如果是这样,那么无论如何该系统都会受到严重损害。
但是在加密货币和去中心化应用程序的背景下,很可能攻击者的意图是不注意到攻击者已经破坏了目标系统。在这种情况下,目标用户会遇到严重麻烦,因为恶意代码可能会提供虚假信息,甚至试图获取资金等。
我想到的一种可能的解决方案: *从本地主机加载站点时,删除所有正在运行的服务工作者。该脚本执行该操作:How do I uninstall a Service Worker?。
但是从本质上讲,恶意代码将很容易解决这个问题。
还有其他可能的解决方法吗?
P.S。我知道这个问题可能被否决了。不过,我认为它与编程非常相关,重要且相关。判断自己:)