Question

Я имею дело с особенно параноидальной группой пользователей, которые могут захотеть подписать свой вклад в мой веб-сайт (например, с помощью ключа GPG) перед отправкой.

Хотя я мог бы показать им «фрагмент» для копирования и вставки в их инструмент GPG, с браузером это было бы неплохо. С производительностью JS последних браузеров, я не уверен, что этот запрос настолько глуп, как кажется.

Существует ли существующее решение для этого или вы можете назвать веские причины против такого подхода в целом?

blowdart · Answer 1 · 11 октября 2009

Причины против тогдашнего

Вам необходимо разблокировать закрытый ключ - вы не можете сделать это с помощью JavaScript
Затем вам необходимо загрузить закрытый ключ в браузер. Что, даже если бы вы могли, представляло бы огромный риск, поскольку JavaScript мог бы затем отправить его в другое место
Шифрование вычислительно тяжело. JavaScript достаточно медленный, как есть.
Межсайтовый скриптинг и внедрение JSON означают, что при наличии уязвимости на вашем веб-сайте ваш JavaScript может быть заменен - поэтому даже если ваш код ведет себя сам, злоумышленники могут внедрить сценарий, который не ведет себя.

Причины

Нет, не могу думать ни о чем.

Криптографическая подпись на основе JavaScript?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 2 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Криптографическая подпись на основе JavaScript?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 2 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы