Grundlagen von JSON Web Tokens

JWTs sind als offener Standard definiert (RFC 7519) (Siehe Beitrag über RFC und HAL) und sind in vielen Programmiersprachen und Plattformen implementiert. Ein JWT besteht aus drei Teilen: Header, Nutzlast (Payload) und Signatur. Diese Teile sind durch Punkte getrennt und bilden einen kompakten Token, die man beispielsweise in einem https-Header oder einer URL übertragen kann.

Struktur von JWT

Header

Der Header enthält Informationen über den verwendeten Algorithmus zur Signatur des Tokens und den Token-Typ. Typischerweise sieht ein Header folgendermaßen aus:

{
"alg": "HS256",
"typ": "JWT"
}

Nutzlast (Payload)

Die Nutzlast enthält die eigentlichen Informationen, die man zwischen den Parteien austauscht. Diese Informationen bezeichnet man auch als Claims. Der Payload kann sowohl vordefinierte als auch benutzerdefinierte Claims enthalten.

Siehe nachfolgendes Beispiel:

{
"sub": "1234567890",
"name": "John Doe",
"iat": 1516239022
}

oder

{
  "user_id": "42"
}

Im zweiten Beispiel ist user_id der Claim-Schlüssel und 42 der zugehörige Wert. Diesen Claim kann man beispielsweise in einem JWT verwenden, um den authentifizierten Benutzer zu identifizieren.

Signatur

Die Signatur dient dazu, die Integrität des Tokens sicherzustellen und zu verhindern, dass man dessen Inhalt manipulieren kann. Dier Erstellung erfolgt durch die Verwendung eines geheimen Schlüssels und des im Header angegebenen Algorithmus (z. B. HMAC-SHA256).

Vorteile von JWT

Stateless und skalierbar

JWTs ermöglichen eine stateless Authentifizierung, da die Nutzlast alle erforderlichen Informationen enthält. Dies bedeutet, dass man keine Sitzungsdaten auf der Serverseite speichern muss. Dadurch sind und bleiben Anwendungen leichter skalierbar.

Einfache Implementierung

Da JWTs auf dem weit verbreiteten JSON-Format basieren, ist ihre Implementierung einfach und sie unterstützt eine Vielzahl von Bibliotheken und Frameworks.

Selbstenthaltend

JWTs enthalten alle erforderlichen Informationen in sich selbst. Dadurch sind keine zusätzlichen Datenbankabfragen zur Verifizierung des Benutzers erforderlich.

Nutzungsszenarien von JWT

Authentifizierung

Man nutzt JWTs häufig zur Authentifizierung von Benutzern in Single-Page-Anwendungen (SPAs) Single Page Applications und APIs.

Autorisierung

Man kann ein JWT auch zur Autorisierung verwenden. Dies lässt sich bewerkstelligen, sofern Informationen über die Rollen und Berechtigungen des Benutzers in den Claims des Tokens enthalten sind.

Informationen teilen

Da JWTs einfach zu erstellen und zu verifizieren sind, kann man sie verwenden, um Informationen zwischen verschiedenen Diensten oder Parteien sicher auszutauschen.

Sicherheitsbedenken und Best Practices

Sichere Übertragung

Man sollte JWTs immer über sichere Kommunikationskanäle wie https übertragen, um Man-in-the-Middle-Angriffe zu verhindern.

Gültigkeit bzw. Ablaufzeit

Tokens sollten eine Gültigkeit bzw. Ablaufzeit (Expiration Time) enthalten, um das Risiko einer Kompromittierung zu minimieren. Sobald ein Token abgelaufen ist, kann man nicht mehr auf die Ressource zugreifen. Dies schafft eine weitere Sicherheitsinstanz, da der Angreifer, selbst wenn er den Zugang gehacked hat, im Besitz des immer wieder neu generierten Tokens sein muss.

Aufbewahrung von geheimen Zugangsdaten

Man sollte den geheimen Schlüssel, den man zur Signatur von JWTs verwendet, sicher aufbewahren und vor unbefugtem Zugriff schützen.

Die Wahl des richtigen Algorithmus

Man sollte einen sicheren Algorithmus für die Signatur von Tokens verwenden. Beispielsweise HMAC-SHA256 oder RSA. Dies, davon ist auszugehen, kann sich mit der fortschreitenden Entwicklung der Quantencomputertechnologie ändern. Folglich ist es immer von enormer Wichtigkeit, die Entwicklungen dahingehend zu beobachten.

Token – Hijacking)

Man sollte darauf achten, dass JWTs nicht im Local Storage oder Session Storage des Browsers gespeichert sind. Dies kann die Seite bzw. Anwendung anfällig für Cross-Site-Scripting-Angriffe (XSS) machen. Daher kann es Sinn machen, https-Only-Cookies zu verwenden.

Fazit

JSON Web Tokens bieten eine moderne, flexible und sichere Methode zur Authentifizierung und Autorisierung von Benutzern in Webanwendungen und APIs. Durch die Stateless-Natur, einfache Implementierung und Selbstenthaltung von JWTs lassen sich skalierbare Lösungen für die Identitätsverwaltung erstellen. Dennoch sollte man sich der Sicherheitsrisiken bewusst sein und Best Practices befolgen, um die Integrität und Sicherheit der Anwendung zu gewährleisten.

Der Beitrag JWT – JSON Web Tokens – Die moderne Authentifizierungsmethode erschien zuerst auf CEOsBay.

Änderungen am Protokoll werden von den Besitzern einer eigenen Kryptowährung und eines Governance-Tokens mit dem Namen UNI abgestimmt und dann von einem Entwicklerteam umgesetzt. UNI-Token wurden zunächst an frühe Nutzer des Protokolls verteilt: Jede Ethereum-Adresse, die vor dem 1. September 2020 mit Uniswap interagiert hatte, erhielt die Möglichkeit, 400 UNI-Token zu beanspruchen, die zu dem Zeitpunkt etwa 1.400 US-Dollar wert waren. Die Marktkapitalisierung des UNI-Tokens liegt Stand heute bei 4.3 Milliarden Euro.

Wie alles begann

Uniswap wurde am 2018 von Hayden Adams, einem ehemaligen Maschinenbauingenieur gegründet. Das Unternehmen Uniswap erhielt Investitionen von Risikokapitalfirmen, darunter Andreessen Horowitz, Paradigm Venture Capital, Union Square Ventures LLC und ParaFi. Händler und Investoren haben Uniswap primär wegen der Verwendung im dezentralen Finanzwesen (DeFi) genutzt.

Das Protokoll

Im Gegensatz zu zentralisierten Börsen nutzt Uniswap Liquiditätspools, statt als Market Maker zu fungieren. Dies geschieht, um primär effizientere Märkte zu schaffen. Einzelpersonen und Bots – so genannte „Liquiditätsanbieter“ – stellen der Börse Liquidität zur Verfügung, indem sie einem Smart Contract ein Token-Paar hinzufügen, dass von anderen Nutzern nach der Constant – Product Regel gekauft und verkauft werden kann. Im Gegenzug erhalten die Liquiditätsanbieter einen Prozentsatz der für dieses Handelspaar erzielten Handelsgebühren.

Bei jedem Handel wird eine bestimmte Menge an Token aus dem Pool für eine bestimmte Menge des anderen Tokens entfernt, wodurch sich der Preis anpasst. Für die Auflistung von Token werden keine Gebühren verlangt, so dass eine große Menge an Ethereum-Token verfügbar sind und die Nutzer sich nicht bei einer zentralen Stelle registrieren müssen.

Als Open Source kann der Code von Uniswap auch genutzt werden, um neue bzw. Alternative Börsen zu erschaffen. Ein solches Vorhaben in Deutschland erfordert meines Wissens nach einer Lizenz von der BaFin. Auch wenn die Gründung in einem anderen Land erfolgt, doch die Transaktionen von und in Deutschland stattfinden, kann eine solche selbsterstellte Plattform äußerst schnell in Verruf bringen, wenn man nicht im Besitz der notwendigen Lizenzen ist.

Sicherheit

Um es gleich vorwegzunehmen: Uniswap ist bereits seit mehreren Jahren auf dem Markt und kann als seriöse Plattform bezeichnet werden. Das hohe Handelsvolumen, dass pro Tag mittlerweile im 3-stelligen Millionen Euro Bereich „schwimmt“, spricht für das Vertrauen, welches Anleger der Plattform entgegenbringen.

Im April 2020 wurde die Website von Uniswap vorübergehend abgeschaltet, nachdem Hacker versucht hatten, mit einem Reentrancy-Hack in die Börse einzudringen.

Relativ zeitgleich bzw. wenig vorher wurde Lendf.me attackiert. Die hatten etwas weniger Glück. Denn die Hacker konnten mehr als 25 Millionen Dollar in Kryptowährung von der Kreditplattform entwenden.

Was ist ein Reentrancy-Hack?

Der Reentrancy-Hack ist eines der destruktivsten Angriffe, die in der Regel Solidity-Smart Contracts als Angriffsziel haben. Der Angriff erfolgt, wenn eine Funktion einen externen Aufruf an einen anderen nicht vertrauenswürdigen Smart Contract tätigt. Der nicht vertrauenswürdige Smart Contract ruft dann rekursiv die ursprüngliche Funktion auf, um Kryptowährung zu transferieren.

Wenn der Smart Contract seinen Status nicht aktualisiert, bevor der Transfer der Kryptowährung stattfindet, kann der Angreifer die Abhebungsfunktion wiederholen, um die Geldmittel des Smart Contracts abzuziehen.

Wie kann man nun dieses Protokoll bzw. die Plattform nutzen?

Hier geht es auf die Seite von Uniswap. Im Anschluss rechts oben auf Launch App und es kann losgehen. Im Grunde genommen erklärt sich alles von selbst.

Der Tausch

Wenn man eine bestimmte Kryptowährung swapen (tauschen) will, geht es auf den „Tauschen“ Reiter. Oben den Betrag eingeben, den man zur Verfügung stehen hat und unten die Währung, in die man tauschen will. Done. Hierbei sollte man auf jeden Fall die Transaktionskosten im Auge behalten. Auch wenn ETH mittlerweile das langerwartete Update erhalten hat, kann es relativ schnell teuer werden, wenn gerade viel auf der Chain los ist.

NFTs

Die NFTs gibt es unter dem Reiter NFTs. Genauso wie bei einem normalen Onlineshop die Ware anklicken, die Wallet verbinden und zahlen. Done.

Der Liquiditätspool

Zu dem Pool geht es über den Pool Reiter. Man benötigt immer ein Kryptowährungspaar. Folglich wählt man links und rechts jeweils eine Währung aus und stellt diese in dem sogenannten Pool zur Verfügung. Werden nun Transaktionen getätigt, die diese Token benötigen, wird man belohnt. Man kann es als provisionierte Entlohnung betrachten, weil man die Transaktionen erleichtert indem man Liquidität zur Verfügung stellt.

Gebühren

Bei der Anmeldung auf der Plattform und der Erstellung eines Liquiditätspools wird man mit 0,3 % an den Transaktionsgebühren der Pools beteiligt. Außerdem hat man Zugriff auf den prozentualen Anteil der Liquidität, den man bereitstellt. Wenn man also beispielsweise 60% der Gesamtliquidität für den Liquiditätspool bereitstellt, erhält man auch 60% der gesamten Transaktionsgebühren.

Wo gibt es den Source Code?

Hier auf GitHub.

Achtung

Ich empfehle ausdrücklich, immer die Verwendung von Hardware Wallets, wenn es um die Lagerung und Interaktion mit Kryptowährungen bzw. NFTs geht. Ich habe auf meinem Blog die Ledger und Trezor Wallet vorgestellt. Man sollte sich die Beiträge auf jeden Fall anschauen, wenn man beabsichtigt in diesem Bereich tätig zu werden. Nichtsdestotrotz No Financial Advice 😉

Der Beitrag Uniswap – Krypto Handelsplattform erschien zuerst auf CEOsBay.

Was ist Discord?

Mit Discord haben Benutzer die Möglichkeit, mit Sprachanrufen, Videoanrufen, Textnachrichten, Medien und Dateien in privaten Chats oder als Teil von Gemeinschaften, die „Server“ genannt werden, zu kommunizieren. Ein Server ist eine Sammlung von dauerhaften Chaträumen und Sprachkanälen, auf die über Einladungslinks zugegriffen werden kann. Die Anwendung läuft auf Windows, macOS, Android, iOS, iPadOS, Linux und in Webbrowsern. Es ist möglich, durch den Einsatz von Bots, wesentliche Funktionen auf diesen Servern zu administrieren und zu automatisieren.

Ein bisschen Background Information

Als Discord im Jahr 2015 auf den Markt kam, musste es sich gegen drei etablierte Apps behaupten: Skype, Slack und TeamSpeak. Alle drei taten, was sie sollten, doch waren sie nicht besonders gut darin. Dies ist wohl auch eines der Gründe, warum die Anwendung von Anfang an so viel Traffic und Zulauf erhielt. Der Andrang führte unweigerlich zu mehreren Serverabstürzen, da das Unternehmen sich schwertat, mit dem enormen Nutzerzahlen gleich zu Beginn klarzukommen.

Jason Citron, der Gründer von Discord, hatte gerade eine 100-Millionen-Dollar-Übernahme seiner vorherigen Social-Gaming-Technologie OpenFeint abgeschlossen. Er wusste, dass seine Anwendung durch einen modernen Ansatz für die Online-Kommunikation das Angebot von Skype und TeamSpeak bei weitem übertreffen konnte.

Anstatt auf Reddit oder in Foren zu suchen, konnten die Nutzer, die primär Gamer bzw. Spieler waren, einem Server beitreten, der speziell für ein bestimmtes Spiel gedacht war. Als die Server immer beliebter wurden, bekamen die Administratoren die Möglichkeit, Unterkanäle für bestimmte Themen oder Spielmodi hinzuzufügen.

Es gibt mittlerweile ca. 7 Millionen aktive Server auf Discord. Und mittlerweile kann man durchaus man sagen, dass eine nicht zu unterschätzende Zahl nicht mehr viel mit Spielen zu tun haben. Unter ihnen findet sich auch mein Unternehmens Server oder auch ein paar Server, in denen ich in Bezug auf NFTs und Krypto Teilhaber bin. Obwohl Discord nach wie vor für Gamer gedacht ist, hat das Team versucht, die Reichweite zu vergrößern, um mit Slack und Microsoft Teams zu konkurrieren. Und dies machen sie wirklich gut.

Die Möglichkeit, unmoderierte private Server zu erstellen, hat in der Vergangenheit auch für Kontroversen gesorgt. Im Jahr 2017 wurde ein Server von amerikanischen Nationalisten genutzt, um die Kundgebung in Charlottesville, Virginia, zu organisieren. Discord sperrte die Mitglieder der White-Supremacist-Gruppe und viele andere Neonazi- und Alternativ-rechte-Server und hat seitdem Verifizierungs- und Bot-Moderationstools eingeführt, um diese Art von Gruppen schneller aus dem Verkehr zu ziehen.

Wie bereits erwähnt, bot Discord zu Beginn nur Text- und Audiokommunikation. Im Jahr 2017 wurden Videoanrufe und Bildschirmfreigaben hinzugefügt. Später wurden auch Integrationen mit Twitch, Spotify und Xbox Live hinzugefügt.

Der Aufstieg von Discord kam mit dem Wachstum des E-Sports zusammen. Mit Spielen wie League of Legends, Overwatch und Fortnite, die allesamt über eher begrenzte Kommunikationstools verfügten. Als immer mehr Twitch-Streamer zu Discord wechselten, wurde dies zu einem Selbstläufer bzw. geradezu zu einer kostengünstigen Marketingkampagne für das Unternehmen.

Trotz des schnellen Wachstums, dass sich von 10 Millionen monatlich aktiven Nutzern (MAUs) im Jahr 2016 auf 45 Millionen im Jahr 2018 beschleunigte, kämpfte Discord damit, ein Einnahmemodell zu finden, dass die Erträge des Unternehmens sichern sollte. In den ersten Jahren verkaufte Discord digitale Aufkleber und Merchandise-Artikel. Aber diese Maßnahme brachte dem Unternehmen 2017 lediglich 10 Millionen US-Dollar ein.

Im Jahr 2018 wurde ein Spiele-Shop eingeführt, der eine ausgewählte Auswahl an Spielen bot. Außerdem wurde ein Abonnementdienst, Discord Nitro, eingeführt, der mehr Emojis, eine größere Uploadgröße, Serverunterstützung und Zugang zu den Videospielen im Schaufenster „Im Endeffekt Bildschirm-Sharing“ bot.

Während Discord Nitro noch immer im Einsatz ist, hat das Unternehmen die Funktion mit dem Spiele-Shop im Jahr 2019, mit der Begründung des mangelnden Interesses der Abonnenten entfernt. Seitdem hat es die Storefront auf Eis gelegt, die Discord oder den Spieleentwicklern von Drittanbietern offenbar nicht viel Geld einbrachte.

Trotz des Scheiterns der Storefront befindet sich Discord weiterhin in einer gesunden Position. Die Nutzung ist während der COVID-19-Ausgangssperre, die ja weitestgehend global realisiert wurde, sprunghaft angestiegen. Kürzlich wurden über 100 Millionen MAUs und ein neuer Höchststand von 10,6 Millionen gleichzeitig aktiven Nutzern bekannt gegeben.

Ob es in der Lage sein wird, Nutzer und Unternehmen von Slack und Microsoft Teams zu gewinnen, bleibt abzuwarten. Im März änderte es sein Motto von „Chat for Gamers“ in „Chat for Communities and Friends“ und gestaltete seine Website neu, um weniger Gamer-spezifische Inhalte zu zeigen. Kommt scheinbar im professionellen Umfeld nicht so gut an 😉

Ist Discord Open Source?

Discord ist nicht quelloffen und somit auch nicht Open Source. Obwohl es sich um einen geschlossenen Quellcode handelt, kommuniziert Discord selbst, dass sie als Unternehmen an die Open-Source-Entwicklungsprinzipien der Zusammenarbeit und der gemeinsamen Nutzung von Lösungen glauben. Es ist proprietär lizenziert, und der Source Code ist nicht frei zugänglich bzw. kann nicht modifiziert werden.

Warum ist Discord nicht Open Source?

Es ist anzunehmen, dass Discord keine Open-Source-Software ist, weil die Entwickler der App primär Geld verdienen möchten. Es erlaubt ihnen auch, die Software „begehrenswert“ zu halten. So zumindest die Aussage eines Mitarbeiters.

Da der Quellcode von Discord geschlossen ist, kann die Öffentlichkeit den Code der Discord-App nicht einsehen. Dies wirft viele Fragen darüber auf, was sich hinter dem Quellcode der Software verbirgt. Discord hat sich nicht zu den Spekulationen geäußert, warum es eine Closed-Source-Plattform ist. Die Geheimhaltung des Quellcodes kann Vorteile haben, muss es aber meiner Meinung nach nicht. Mich persönlich interessiert es, welche Daten erhoben werden.

Discord Bezahlmodell? 

Discord ist in der Standardversion kostenlos und bietet ein monatliches Abonnement mit dem Namen Discord Nitro an. Das Abonnement bietet Vorteile wie Streaming mit höherer Auflösung, das Hinzufügen von Änderungen an dem eigenen Server sowie größere Datenuploads.

Gibt es Alternativen zu Discord?

Klar gibt es Alternativen. Diese sind Mumble, Element, Tox.Chat, Jitsi, TeamSpeak und Skype.

Wobei ich persönlich, zusammen mit Discord, nur TeamSpeak, Mumble und Jitsi aktiv benutze. Evtl. werde ich auch Beiträge zu den alternativen Lösungen erstellen.

Fazit

Alles in allem finde ich persönlich Discord ok. Die Tatsache, dass der Quellcode nicht offen und somit Open Source ist, gefällt mir nicht. Auch gefällt es mir nicht, dass ich für den Einsatz von Bots extra Geld ausgeben muss, obwohl der Bot von mir persönlich entwickelt wurde und auch von mir selbst gehostet wird. Ich habe keine Ahnung, welche Daten der Kommunikation von Discord selbst erhoben werden. Wahrscheinlich sammeln sie alles.

Es gibt keinen Grund, paranoid zu sein, dennoch sollte man mit dieser Annahme gewissenhaft umgehen. Denn solange man nicht wirklich weiß, was unter der Haube läuft, kann man sich eben nicht sicher sein. Und die jüngsten Ereignisse in dem Kontext der sozialen Medien haben gezeigt, dass viel Unfug damit anstellen. Besonders fällt mir dies persönlich im Blockchain-, Krypto– und NFT-Space auf. Viele Projekte, in die ich investiert oder an denen ich beteiligt war, wurden meistens über Discord gehacked, da die Sicherheitsmaßnahmen nicht ausgefeilt genug waren.

Sicherlich gehört da auch die Gewissenhafte Verwaltung und Administration des eigenen Servers auch dazu, doch ich möchte Discord selbst mindestens genauso zur Verantwortung ziehen, da es ihre Anwendung ist, über den der Missbrauch stattfindet. Nichtsdestotrotz hat sich auch das NFT-Space mittlerweile regelrecht in Discord etabliert. Es ist abzuwarten, was Elon Musk mit Twitter anstellt. Vielleicht ergibt sich schon bald eine Alternative, die Discord zumindest im NFT-Space ablöst.

Dennoch muss ich sagen, dass ich ohne Discord wohl nicht auf grandiose Menschen gestoßen wäre, mit denen ich viel Zeit verbringe, um richtig gute Anwendungen und Lösungen zu entwickeln. Auch der Wissensgehalt, den ich mir lediglich durch die Nutzung der Plattform angeeignet habe, ist immens. Man findet halt relativ schnell Gleichgesinnte, mit einem gewissen Etwas 😉

Der Beitrag Discord – Community durch nahtlose Kommunikation und Zusammenarbeit erschien zuerst auf CEOsBay.