全部文章

阅读约 4 分钟

白名单模式:让收件箱聚焦于可信发送方

白名单模式是 CardanoWall 收件箱按身份生效的过滤器,会优先展示来自可信联系人的记录。它不会改变 Label 309 记录格式,也不会在 Cardano 上拦截任何人。

白名单模式是 CardanoWall 收件箱的一个过滤器,你可以按身份分别开启。开启后,收件箱默认进入「仅可信」视图,只展示由已存在于你通讯录中的发送方签名的记录,而「显示全部」标签页只需点一下即可切换。它是一种查看上的便利,而不是权限系统:它不会改变 Label 309 记录格式,也无法阻止任何人在 Cardano 上发布一条寄给你的记录。

把它理解为对收件箱的控制,而非对区块链的控制。

收件箱为什么需要白名单?

因为一个公开的接收地址,会引来你并未主动招揽的流量。

如果你把接收地址公布在网站、公开主页或支持页面上,任何人都能向它封存一条记录。这种开放性正是其价值所在——陌生人无需账户就能联系到你。但这也意味着你的收件箱可能会被一些素未谋面的人发来的记录塞满。

对于那些处于高流量或公开场景中的身份,白名单模式能为它们保持一个干净的工作视图,例如:

  • 任何人都能找到的公开主页身份
  • 新闻编辑室或信息接收身份
  • 法律或合规团队身份
  • 安全披露身份
  • 客户支持取证身份
  • 大多数情况下只应看到合作伙伴流量的身份

白名单模式究竟过滤什么?

它只过滤收件箱视图——仅此而已。

当某个身份开启白名单模式后,收件箱会显示一个带两个标签页的小切换器:「仅可信」(默认)与**「显示全部」。可信视图包含那些发送方签名与你通讯录中某个公钥相匹配的记录。其余一切都留在「显示全部」**里,点一下即可看到。

不会有任何内容被删除。链上记录依然存在,加密后的载荷原封未动,你的其他身份也不受影响。收件箱只是在选择优先呈现什么。这一区别很重要,因为 Cardano 是公开且只可追加的:应用能改变所看到的内容,却永远改变不了已发布的内容。

视图切换本身是临时的。在一次会话中切到「显示全部」,并不会关闭白名单模式——按身份生效的设置会保留,而你当前的视图不会保留。

白名单模式会在区块链上拦截发送方吗?

不会。它做不到,也不以此为目的。

任何能提交 Cardano 交易的人,都可以发布一条符合规范、寄给你接收密钥的 Label 309 记录,无论你是否认识对方。白名单模式不会在链上创建任何权限、允许名单或拦截。它只改变 CardanoWall 为你账户中的某一个身份组织收件箱的方式。

标准依然开放,你的界面则变得更清静。(CardanoWall 还提供一项独立的「拦截发送方」控制项,可以把某个特定的签名密钥从你的视图中隐藏——这同样是本地的 UX 选择,而非链上动作。)

通讯录是如何支撑这一功能的?

白名单模式的好坏,完全取决于你的联系人。

你的通讯录把发送方的签名公钥映射到一个名字,以及你验证它时所处的场景。每一条收到的记录都可以携带一个可选的作者签名(一个基于 Ed25519 密钥、覆盖记录的 COSE_Sign1 签名)。当这个签名密钥与你某个可信联系人相匹配时,收件箱便会把这条记录识别为来自已知发送方,并将其放入可信视图。

所以通讯录不只是编辑器里的快捷方式——它还兼具收件箱分流的作用。而由于这种匹配是密码学层面的,过滤的质量完全取决于你验证的质量。如果你添加了某个联系人的密钥,却没有真正确认它属于谁,白名单模式就会忠实地信任错误的人。

那些未签名的封存记录呢?

它们通常没有可供匹配的发送方,因此会落入「显示全部」。

Label 309 中的作者签名按设计是可选的。发送方可以发布一条完全没有签名的封存记录,这对于那些不希望署名的敏感披露而言确实很有用。但没有签名,就没有密钥可以与你的通讯录比对,于是收件箱会把这条记录视为来自未知发送方。

对任何依赖这一功能的人,都要把话讲清楚:

  • 来自已知密钥的已签名记录会被识别为可信
  • 未签名的记录,或来自你尚未保存的密钥的已签名记录,会显示为未知
  • 「未知」并不意味着恶意
  • 而「被过滤出默认视图」永远不等于被删除

这是一项界面策略,而非对发送方的密码学裁决。

何时应当开启它——又何时不该?

当信号质量比触达范围更要紧时,就开启它。

适合的场景:

  • 大多数情况下只应看到已知合作伙伴的内部团队身份
  • 不希望默认呈现未知记录的高管或法律身份
  • 被无关流量淹没的公开主页
  • 希望优先看到已验证客户密钥的支持工作流
  • 聚焦于一组已批准发送方的审计员身份

当「被发现」本身就是全部目的时,请让它保持关闭:

  • 公开的举报人或线索接收
  • 开放投稿,以及陌生人的首次联系
  • 社区或创作者收件箱
  • 任何预期并欢迎未知发送方的工作流

白名单模式会不会隐藏掉重要的内容?

会——这正是其代价所在,你应当为此做好预案。

如果一位重要发送方不在你的通讯录里,他们的记录就不会出现在默认的「仅可信」视图中。它仍然在「显示全部」里,但前提是有人去看。对于任何重要的身份,请建立一套例行做法:

  • 定期查看「显示全部」视图,而不只是可信视图
  • 在验证发送方之后把他们加入联系人,这样未来的记录便会自动呈现
  • 记下哪些身份开启了白名单模式
  • 除非你的流程已明确把它考虑在内,否则不要在开放接收地址上启用它

过滤应当服务于你的流程,而不是悄悄地给它带来意外。

白名单模式能改善隐私吗?

只能间接地改善,而且这里值得说得精确一些。

白名单模式不会隐藏你的公开接收地址,不会从链上移除任何内容,不会让发布变成私密,也不会阻止陌生人向你封存一条记录。它能做到的,是减少你打开、检视并应对意外记录的频率——从而降低操作失误的概率。

真正的机密性,仍然来自对内容本身的封存、谨慎的密钥处理,以及对元数据会暴露什么的思考。关于隐私的实际界线究竟在哪里,请参阅 CardanoWall 能看到什么

简短版本

白名单模式是对收件箱的控制,作用范围限定在单个身份上。

它把收件箱默认设为「仅可信」视图,帮助某个身份聚焦于来自你已验证联系人的记录。它不会改变 Label 309 协议,不会拦截 Cardano 交易,也不会证明未知发送方不可信。把它用于受控的、高流量的工作流;在以开放接收为目标的场合,则让它保持关闭。

延伸阅读

cardanowall-guideswhitelist-modeinbox