Niektóre aplikacje webowe wykorzystują szyfrowanie end-to-end, m.in. Element, CryptPad, PrivateBin, czy niektóre webowe klienty poczty z obsługą PGP.
Niestety to rozwiązanie ma poważną dziurę. Inaczej niż w przypadku natywnych aplikacji, każde wczytanie strony wiąże się z pobraniem jej kodu na nowo. Tak więc serwer może w dowolnym momencie zmodyfikować JavaScript i wyciągnąć dane już po odszyfrowaniu.
Jakieś pomysły, co można z tym zrobić?
anedroid /
npub1l4…avm3m
2024-03-08 09:27:26
Author Public Key
npub1l4w64vltgsh44apuh64d9qkne6k0pg48tx5hyhpl3jnj9knzdtgqdavm3mPublished at
2024-03-08 09:27:26Event JSON
{
"id": "7511c53982261493781df9130711c310de95ad608ac1c2e1f669c0ef20634fb5",
"pubkey": "fd5daab3eb442f5af43cbeaad282d3ceacf0a2a759a9725c3f8ca722da626ad0",
"created_at": 1709890046,
"kind": 1,
"tags": [
[
"proxy",
"https://wspanialy.eu/users/anedroid/statuses/112059354098246431",
"activitypub"
]
],
"content": "Niektóre aplikacje webowe wykorzystują szyfrowanie end-to-end, m.in. Element, CryptPad, PrivateBin, czy niektóre webowe klienty poczty z obsługą PGP. \n\nNiestety to rozwiązanie ma poważną dziurę. Inaczej niż w przypadku natywnych aplikacji, każde wczytanie strony wiąże się z pobraniem jej kodu na nowo. Tak więc serwer może w dowolnym momencie zmodyfikować JavaScript i wyciągnąć dane już po odszyfrowaniu.\n\nJakieś pomysły, co można z tym zrobić?",
"sig": "f8382bb888b91ce8ffc786cef0e40175e3c9ad92a22dd17c205062c2f10842d0d74931b450c33c483f593ed2b15a8aec932dc7fc4308e765fccd91c7bbd4b955"
}