anedroid on Nostr: Niektóre aplikacje webowe wykorzystują szyfrowanie end-to-end, m.in. Element, ...
Niektóre aplikacje webowe wykorzystują szyfrowanie end-to-end, m.in. Element, CryptPad, PrivateBin, czy niektóre webowe klienty poczty z obsługą PGP.
Niestety to rozwiązanie ma poważną dziurę. Inaczej niż w przypadku natywnych aplikacji, każde wczytanie strony wiąże się z pobraniem jej kodu na nowo. Tak więc serwer może w dowolnym momencie zmodyfikować JavaScript i wyciągnąć dane już po odszyfrowaniu.
Jakieś pomysły, co można z tym zrobić?
Niestety to rozwiązanie ma poważną dziurę. Inaczej niż w przypadku natywnych aplikacji, każde wczytanie strony wiąże się z pobraniem jej kodu na nowo. Tak więc serwer może w dowolnym momencie zmodyfikować JavaScript i wyciągnąć dane już po odszyfrowaniu.
Jakieś pomysły, co można z tym zrobić?