区块广播:

0.19.0版bitcoin core钱包默认禁用bip70

uc8btc副船长发布在 技术交流来自App
 13277  107
  • 正序
  • 最新
只看帖主楼层直达
  • BurntCoins 副船长 2019-09-24 22:39:24 来自App只看该作者32楼
    uc8btc 发表于 2019-9-24 22:13 bitpay说用了bip70后付款错误率大幅下降 https://support.bitpay.com/hc/en-us/articles/360015839672-Fre ...
    其实BIP70的准确金额/付款证明/退款这些功能,闪电网络现在也能提供(退款现在有hold invoice可以实现)。
    即使不说闪电网络,并不是没有BIP70就搞不定这些情况,只是比较麻烦(所以说Bitpay说BIP70可以节省他们的客服支持开支)。 至于BIP70的“显示人类易读的网站域名,而不是乱码一样的比特币地址”,这个是目前中心化的CA体系负责的,和比特币的去中心化精神不符。
    不过有一说一,据我所知,闪电网络目前还是存在付款可能卡在半途的问题,还有就是必须在线才能收付款(这个问题貌似用hold invoice可以缓解),这些确实是相对链上支付的缺点。
  • BurntCoins 副船长 2019-09-24 22:50:39 来自App只看该作者33楼
    uc8btc 发表于 2019-9-24 22:16 怎么修改了,bitcoin core钱包都可以正常支付bitpay的付款请求
    我的意思是Bitpay给BIP70做了增补,我并没有说Bitpay的BIP70跟原版BIP70不兼容。
    就比如最低矿工费,我就没看到原版BIP70文档里提到过。而且我看到Bitcoin Core和Electrum钱包里都仍然能编辑矿工费到很低的值。
  • BurntCoins 副船长 2019-09-25 09:13:58 只看该作者34楼
    BurntCoins 发表于2019-09-24 19:17:35 说实话,我一直没明白BIP70具体是干啥的……

    比特币支付不是直接把地址和金额输入给钱包就OK了么?现在已经有bitcoin:开头的URI了吧,这就像网址一样,点击发送比特币,这样已经够用了啊。

    BIP70又是怎么个玩法?

    很久以前我用过一次bitpay付款,我记得好像也是把地址展示给用户的。这个地址应该就是bitpay自己的吧,然后bitpay才能卖掉比特币转换成法币付给商户。

    bitpay支持BIP70,不知道到底是咋个支持法。

    我印象里,有人支持BIP70,说BIP70可以解决中间人攻击问题(偷换收款地址);也有人反对BIP70,说BIP70有安全/隐私方面的缺陷……说实话,两方面的理由我都没懂。
    前面的帖子要是能编辑一下就好了……

    同样是“bitcoin:”开头,如果直接嵌入了比特币地址,这种叫BIP21 URI:
    bitcoin:175tWpb8K1S7NmH4Zx6rewF9WQrcZv245W?amount=20.3&label=Luke-Jr
    钱包app可以从中读取到地址、金额、标签等信息。

    如果像Bitpay那样,没有比特币地址,只有一个https://开头的URL,那就是BIP70(准确地讲,这种网址叫BIP72,它背后的支付协议是BIP70):
    bitcoin:?r=https://bitpay.com/i/XXXXXXXXXXXXXXXXXXXXXXX
    楼层直达
  • 大绅士奇奇怪 船长 2019-09-25 13:22:33 只看该作者35楼
    BurntCoins 发表于2019-09-24 21:14:44 首先我还是感觉Bitpay做得不对。他们不应该强制别人用BIP70(而且貌似还是他们增补过的修改版BIP70),这样要么是强迫用户换钱包(换到支持BIP70的),要么是诱导用户使用一些不安全的方式绕过BIP70(BIP70不直接给用户显示比特币地址),这个时候就有可能被恶意网站偷换付款地址,导致用户支付过去的币被骗走。
    不过,我现在也没找到抵制BIP70的靠谱理由,也就是安全/隐私方面,到底有没有影响……
    简而言之就是一种内耗,拆台。反正现在论点已经转变成为:价值储存,不需要支付了。
    楼层直达
  • BurntCoins 副船长 2019-09-25 13:56:42 只看该作者36楼
    大绅士奇奇怪 发表于2019-09-25 13:22:33 简而言之就是一种内耗,拆台。反正现在论点已经转变成为:价值储存,不需要支付了。
    我对BitPay支持BIP70的理由还是很怀疑的。
    BIP21也能做到“点击打开钱包app确认支付”,也能做到“金额准确”,这样肯定比在钱包app里手动复制地址、输入金额方便,但凡有方便的办法,一般人都不会用麻烦的办法。
    如果要退款的话,十有八九还是要联系客服的,BIP70也未必能在这方面省下多少麻烦。
    矿工费不够导致迟迟不到账的问题,并不是加个最低矿工费就能在本质上解决的,该堵还是会堵,而且我好像也没看到Bitcoin Core和Electrum钱包有支持“最低矿工费”这个功能(也许是支持的,只是我没走完支付流程?)。
    楼层直达
  • BurntCoins 副船长 2019-09-25 14:00:20 只看该作者37楼
    大绅士奇奇怪 发表于2019-09-25 13:22:33 简而言之就是一种内耗,拆台。反正现在论点已经转变成为:价值储存,不需要支付了。
    不过,Bitcoin Core要默认禁用BIP70,我也不知道到底有没有足够靠谱的理由……默认禁用BIP70后如果不能正常支付,就会给用户带来麻烦,甚至可能诱使他们去找不安全的办法来绕过BIP70,这样也不合适。
    楼层直达
  • 大绅士奇奇怪 船长 2019-09-25 16:39:17 只看该作者38楼
    BurntCoins 发表于2019-09-25 13:56:42 我对BitPay支持BIP70的理由还是很怀疑的。
    BIP21也能做到“点击打开钱包app确认支付”,也能做到“金额准确”,这样肯定比在钱包app里手动复制地址、输入金额方便,但凡有方便的办法,一般人都不会用麻烦的办法。
    如果要退款的话,十有八九还是要联系客服的,BIP70也未必能在这方面省下多少麻烦。
    矿工费不够导致迟迟不到账的问题,并不是加个最低矿工费就能在本质上解决的,该堵还是会堵,而且我好像也没看到Bitcoin Core和Electrum钱包有支持“最低矿工费”这个功能(也许是支持的,只是我没走完支付流程?)。
    如果bip70和21功能相近。那么他选择应用bip70是自己的自由。没有义务给出特别的理由。别人也没有强制他改用bip21的权力。
    所谓的安全问题,似乎就只是应用了openssl。
    根本问题,只怕还是党同伐异,选边站。
    楼层直达
  • 大绅士奇奇怪 船长 2019-09-25 16:44:48 只看该作者39楼
    BurntCoins 发表于2019-09-25 14:00:20 不过,Bitcoin Core要默认禁用BIP70,我也不知道到底有没有足够靠谱的理由……默认禁用BIP70后如果不能正常支付,就会给用户带来麻烦,甚至可能诱使他们去找不安全的办法来绕过BIP70,这样也不合适。
    看到r/bitcoin上的解释。也没有着重指出bip70的安全问题。而是主要辩解说,bip70根本没有人在用,所以删除了。
    楼层直达
  • BurntCoins 副船长 2019-09-25 17:34:35 只看该作者40楼
    大绅士奇奇怪 发表于2019-09-25 16:39:17 如果bip70和21功能相近。那么他选择应用bip70是自己的自由。没有义务给出特别的理由。别人也没有强制他改用bip21的权力。
    所谓的安全问题,似乎就只是应用了openssl。
    根本问题,只怕还是党同伐异,选边站。
    BitPay在业内还是有地位的吧,他要是有什么动作,会影响到很多用户,所以至少用户自己可以抱怨两句吧。

    现在你去Bitcoin Core代码里搜一下,可以看到,在默认禁用BIP70的情况下,软件会弹出提示,里面包含禁用的理由,是“widespread security flaws in BIP70”
    https://github.com/bitcoin/bitcoin/blob/36604b4ef568aaf131f11c2b10e8c39e7a04b464/src/qt/paymentserver.cpp#L332
    楼层直达
  • BurntCoins 副船长 2019-09-25 17:40:04 只看该作者41楼
    BurntCoins 发表于2019-09-24 18:47:19 早就说要禁了吧……
    还有BIP37布隆过滤器(给SPV钱包提供服务的协议)也要默认禁用了。
    对了,BIP70的禁用貌似是编译的时候就把它去掉了,也就是说,编译好的软件里已经没有这个功能了,用户没办法通过调配置的办法重新启用,除非自己重新编译软件。BIP37好像还不是这样,用户还可以调配置重新启用。
    楼层直达
  • 大绅士奇奇怪 船长 2019-09-25 17:54:31 只看该作者42楼
    BurntCoins 发表于2019-09-25 17:34:35 BitPay在业内还是有地位的吧,他要是有什么动作,会影响到很多用户,所以至少用户自己可以抱怨两句吧。

    现在你去Bitcoin Core代码里搜一下,可以看到,在默认禁用BIP70的情况下,软件会弹出提示,里面包含禁用的理由,是“widespread security flaws in BIP70”
    https://github.com/bitcoin/bitcoin/blob/36604b4ef568aaf131f11c2b10e8c39e7a04b464/src/qt/paymentserver.cpp#L332
    只有这么简单一句话,看不出什么有用的信息。
    楼层直达
  • 大绅士奇奇怪 船长 2019-09-25 17:57:17 只看该作者43楼
    BurntCoins 发表于2019-09-25 17:34:35 BitPay在业内还是有地位的吧,他要是有什么动作,会影响到很多用户,所以至少用户自己可以抱怨两句吧。

    现在你去Bitcoin Core代码里搜一下,可以看到,在默认禁用BIP70的情况下,软件会弹出提示,里面包含禁用的理由,是“widespread security flaws in BIP70”
    https://github.com/bitcoin/bitcoin/blob/36604b4ef568aaf131f11c2b10e8c39e7a04b464/src/qt/paymentserver.cpp#L332
    我感觉在r/bitcoin里面的发言,bitpay的地位很成问题呀。貌似很多人恨不得把它吊起来打一顿。
    楼层直达
  • BurntCoins 副船长 2019-09-25 18:17:26 只看该作者44楼
    大绅士奇奇怪 发表于2019-09-25 17:57:17 我感觉在r/bitcoin里面的发言,bitpay的地位很成问题呀。貌似很多人恨不得把它吊起来打一顿。
    /r/bitcoin和bitcoin core不算一码事……不过/r/bitcoin确实是很偏向bitcoin core。
    楼层直达
  • BurntCoins 副船长 2019-09-25 18:29:00 只看该作者45楼
    大绅士奇奇怪 发表于2019-09-25 17:54:31 只有这么简单一句话,看不出什么有用的信息。
    这句话是James Hilliard提交的:

    https://github.com/bitcoin/bitcoin/pull/16858

    我前面说过他给BitPay也提交过一个安全问题,可以看到他要改的地方里有一处说明:

    **Broadcasting a payment before getting a success notification back from the server in most cases will lead to a failed payment for the sender.** The sender will bear the cost of paying transaction fees yet again to get their money back.

    **在服务器返回成功通知前广播交易在多数情况下会导致发送方付款失败**发送方必须再次承担矿工费来拿到退款。

    我了个去……这段说明的内容,不就是先前提到的那个安全问题么?在这里,它反倒一个“功能”,也就是实现“付款失败时不扣款”……

    https://github.com/bitpay/jsonPaymentProtocol/pull/21/commits/d81ef06ef42cad693c34b8ad6a2eeae0b5ba6ef4



    我不知道BIP70是不是还有其他问题。不过说实话,这个问题本身似乎比较无关痛痒,修正也很容易。
    楼层直达
  • pppp@8btc 副船长 2019-09-25 19:07:58 只看该作者46楼
    简单地看,应该是人们发现bip70协议存在多个安全设计缺陷和实现缺陷。
    所以这个历史产品要被抛弃。
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 8
前往
登录 账号发表你的看法,还没有账号?立即免费 注册