我这台电脑有个让我抓狂的问题,某些软件安装完之后会捆绑一堆我根本没有选择过的程序,等我发现的时候桌面上已经多了好几个陌生图标。手动卸载过过几天又悄悄回来了。
这件事让我想到一个更根本的问题我的设备上发生了什么,我有没有真正的知情权和控制权?
那些捆绑软件利用的恰恰是授权机制的模糊地带——你安装A软件的时候点了一个长达几百行的用户协议里某个角落写着同意安装合作伙伴推荐软件。
@SignOfficial 的Sign Protocol在解决的是授权记录本身的透明度和可追溯性问题。平台设计一份你看不完也看不懂的条款点同意权限就拿走了,整个过程里你能查到的记录几乎为零。
Sign Protocol的attestation把授权这件事反过来,每一次授权操作都生成一份链上可验证记录包含授权内容、范围、时间戳和双方签名,用户可以随时查看自己授权过什么有没有还在生效的授权悄悄挂着。
Sign Protocol的schema标准化设计把授权内容变成结构化的链上参数——谁授权给谁、权限边界在哪里,这些东西在授权发生之前就写死了,任何一方事后都没有办法说"我们当时说的不是这个。
我电脑里那些捆绑软件如果是在这套机制下运行的,它们没有办法在我不知情的情况下悄悄安装,因为安装行为需要一份我真实签署过的链上授权记录没有这份记录,安装行为在链上就是未授权操作。
EthSign在这个场景里的应用更直接,用户和软件服务商之间的使用协议如果通过EthSign做成链上签署的协议,用户拿到的不是一个你已同意的弹窗是一份双方签名都在的链上文件,授权了什么写得清清楚楚任何时候都可以拿出来核验。
更关键的是撤销机制Sign Protocol支持凭证撤销和状态检查,意味着用户可以主动撤销某个授权对方没有办法你之前同意过所以我可以继续。
$SIGN 的新身份系统里选择性披露机制允许用户只授权对方需要的那部分权限,而不是一次性把所有数据和控制权都交出去。
你安装一个工具软件只需要授权它访问特定功能,不需要附带授权它安装其他程序读取你的通讯录和追踪你的使用行为。
权限边界在授权那一刻就被精确定义,超出边界的操作在链上没有授权记录就是未授权行为。
当然这套系统要真正改变普通用户的软件安装体验,需要操作系统应用商店还有软件开发者全部接入同一套授权标准,这个改变的周期会很长久不是今天就能解决我电脑里那些反复出现的捆绑程序。
用户习惯和行业标准的转变从来都不是技术能单独推动的,目前还是我预测的并非已经发生的事情。
