Безопасность

Как работает блокировка/разблокировка keosd и какие есть последствия для безопасности?

С точки зрения пользователя после создания кошелёк остаётся в состоянии unlocked. В зависимости от способа запуска keosd он может оставаться unlocked до перезапуска процесса. При блокировке (по таймауту или после перезапуска) для разблокировки нужен пароль.

Важно: у keosd нет механизма аутентификации/авторизации кроме блокировки/разблокировки кошелька для хранения/извлечения закрытых ключей и подписи сообщений.

Как обращаются к сервису keosd и какие риски?

При доступе через доменный сокет любой пользователь/группа UNIX с правом записи в файл сокета может отправлять транзакции и получать подписанные транзакции от keosd, используя любой ключ из любого разблокированного кошелька.

При TCP-сокете, привязанном к localhost, то же может делать любой локальный процесс (независимо от владельца и прав). В том числе фрагмент JavaScript на веб-странице в локальном браузере (у некоторых браузеров есть частичная защита).

При TCP-сокете на адресе LAN/WAN любой удалённый участник, способный доставлять пакеты до машины с keosd, может делать то же самое. Это серьёзный риск, даже если трафик шифруется или идёт по HTTPS.