TezBoxとはTezosのトークンを保管するモバイルウォレットのことです。
今回TezBoxは、2つのセキュリティ監査を受けました。
2つのセキュリティ監査のうち、1つ目はセキュリティ分野のよく知られた専門家が実施したもので、もう1つはLeastAuthorityという企業が実施したものです。
どちらも、Tezosのコアプロトコルおよびその他のTezos関連ツールの監査に取り組んできました。
両方のセキュリティ監査で、TezBoxはセキュリティに関しては最善の方法を尽くしていることがわかりました。
SSL証明書とセキュリティヘッダー
1つ目の監査では、バックエンドノードで使用されているSSL証明書は、あまり安全ではないことが判明しました。
ユーザーなどと直接やり取りをする要素のことをフロントエンドといい、そのフロントエンドの入力データや指示をもとに、処理を行って結果を出力したり、記録媒体に保存したりする処理をバックエンドという。
SSLとはインターネット上でやりとりされる情報を暗号化し第三者によるデータの盗聴・改ざんを防止する技術のこと。
万が一、情報が盗聴・傍受されても、暗号化されているため中身を解読することはできない。インターネットに潜む盗聴やなりすまし、改ざんなどの危険性を回避するために有効なのがSSL証明書である。
そこでTezBoxは、暗号化のレベルを改善し、使用される基礎となるSSLソフトウェアを更新することにしました。
また、Webウォレットサーバーには、Content-Security-PolicyとX-XSS-Protection(XSSの攻撃に対するフィルター機能を強制的に有効にする)のセキュリティヘッダーを追加しました。
古くなったライブラリと未使用のコード
さらに1つ目の監査では、アップデートされたバージョンが100%互換性があり、使用しているサードパーティーのライブラリの1つを更新することを推奨しました。
非正規品のこと。また、コンピューターのオリジナル製品を開発販売している企業以外で、互換性や関連性のあるソフトウェアやハードウェアを開発・製造している企業の総称。
また、古いバージョンを引き続き使用する理由がないため、未使用コードの一部を削除することも推奨されました。
この未使用コードは、もともとウォレットクリエイターのためのレガシーサポートを提供していましたが、今の段階では使用されなくなりました。
これらの推奨事項は、ソフトウェアのセキュリティに直接影響するものではありませんでしたが、実施した方がいい内容でした。
弱いパスワード要件
監査を受ける前のパスワード要件はパスワードの長さだけでした。これは8文字以上でなければなりませんでした。
2つ目の監査では、より厳しいパスワードを強制することを推奨しました。新しいパスワード検証では、次のことが必要です。
1.最小8文字
2.英字を含む必要があります
3.少なくとも1つの大文字/小文字を含む必要があります。
4.少なくとも1つの他の文字タイプ(数字または記号)を含める必要があります。
5.空白を含まない
この変更は、エンドユーザーにとってより良い、より安全なソフトウェアを提供することにつながります。
Chrome拡張機能
また、2つ目のLeastAuthorityの監査では、Chrome拡張機能にいくつかの欠陥が発見されました。
ユーザーの秘密鍵が侵害されることはありませんでしたが、誤ってユーザーに取引を許可する可能性があります。
そこで、デベロッパーのAPIを削除し、Chrome拡張機能をポップアップにより別のタブに切り替えることで、この問題を解決しました。
WEBサイト内のリンクをクリックしたときに別のウィンドウが立ち上がること。
おわりに
TezBoxは2つのセキュリティ監査を無事に完了させることができました。
TezBoxは今後も開発を続け、ユーザーを安全に保つ最高のセキュリティ基準を維持していくことでしょう。