🔏 SEAL travaille sur un nouvel outil pour permettre aux utilisateurs avancés et aux chercheurs en sécurité de rejoindre la lutte contre le phishing crypto, et nous sommes ravis de le rendre public.

Traditionnellement, le scan automatisé des URL rencontre tous les problèmes typiquement rencontrés par les scrapers web, y compris les CAPTCHA et les protections anti-bot. De plus, les escrocs ont développé des fonctionnalités de "cloaking" pour servir un contenu inoffensif aux scanners web suspects.

Ce dont nous avions besoin, c'était d'un moyen de voir ce que l'utilisateur voyait. Après tout, si quelqu'un prétend qu'une URL servait un contenu malveillant, nous ne pouvons pas simplement prendre sa parole pour argent comptant. Mais que se passerait-il s'il pouvait le prouver de manière cryptographique ?

Malheureusement, TLS ne prend pas en charge nativement la génération d'un transcript de session, ce qui signifie qu'un tiers pourrait simplement mentir sur ce que le serveur distant a dit. C'est mauvais pour des raisons évidentes. Pour résoudre ce problème, nous avons créé des attestations TLS.

Avec les attestations TLS, le tiers délègue la confiance à un vérificateur (tel que SEAL), qui peut ensuite générer une attestation cryptographique qu'un transcript de session est légitime. Cela nous permet d'inspecter ultérieurement le contenu de la session pour identifier un comportement malveillant.