Desconhecia os plugins nos2x e nos2x-fox. A ideia é boa, sem dúvida. Ainda assim, este tipo de plugins suscitam-se as seguintes reservas:
a) Trata-se de plugins de web browser, e bem sabemos que os web browsers não são tidos como um exemplo de segurança. Creio que poderá haver o perigo de alguém explorar alguma vulnerabilidade no web browser (v.g. Firefox) e com isso sacar a chave privada;
b) A chave privada está sempre disponível, de forma desencriptada, no plugin... Ou seja, a chave privada nunca é enviada para o servidor web, mas para que o plugin se sirva dela o mesmo mantém-a desencriptada... Isto pode também representar um possível ponto de ataque. Mas penso que os próprios programadores já estão a trabalhar num esquema que passa pela obrigação de o utilizador, de cada vez que queira publicar um evento, ter de usar uma password, para desencriptar a chave privada do Nostr.
Pedro Ataíde
npub1pj…8j35w
2024-03-16 23:14:13
in reply to nevent1q…xsn3
Author Public Key
npub1pjwals5scvkhn2kspm24sm70nfcc7th5f7g3fqvm8x5ra77yzu6sk8j35wPublished at
2024-03-16 23:14:13Event JSON
{
"id": "bec3b2e189627f4ab623fb34de22c20d19bc06a5f5588e781d7dd9a59a10231e",
"pubkey": "0c9ddfc290c32d79aad00ed5586fcf9a718f2ef44f9114819b39a83efbc41735",
"created_at": 1710630853,
"kind": 1,
"tags": [
[
"e",
"6a36ef6984869224e26e6282a2a1aa73fbf9b00280f9f0cae7cd4f8fb42173c1",
"",
"root"
],
[
"e",
"8d7516f7855e081633fe0d751ad710563b09161e9f99fb6e9fc07223682700cb"
],
[
"e",
"832e6945d2ff73f6b6750e266053417c2bd78a920f650adb3e9600c7be865671",
"",
"reply"
],
[
"p",
"0c9ddfc290c32d79aad00ed5586fcf9a718f2ef44f9114819b39a83efbc41735"
],
[
"p",
"318c6318d90d80fc77b4c8dca160e17b94a7ab30aa7b01afbe76bb65de4b28e0"
],
[
"p",
"aa3ca05f1024d1aecfa32638f63d34f3ee429d5f2149c427dcffe6f1b0d61c30"
],
[
"p",
"3bf0c63fcb93463407af97a5e5ee64fa883d107ef9e558472c4eb9aaaefa459d"
],
[
"p",
"770b4508f0591a91a3edfa9ac0328f3c2e584cc7aacd861e56e023f530de11c1"
]
],
"content": "Desconhecia os plugins nos2x e nos2x-fox. A ideia é boa, sem dúvida. Ainda assim, este tipo de plugins suscitam-se as seguintes reservas:\na) Trata-se de plugins de web browser, e bem sabemos que os web browsers não são tidos como um exemplo de segurança. Creio que poderá haver o perigo de alguém explorar alguma vulnerabilidade no web browser (v.g. Firefox) e com isso sacar a chave privada;\nb) A chave privada está sempre disponível, de forma desencriptada, no plugin... Ou seja, a chave privada nunca é enviada para o servidor web, mas para que o plugin se sirva dela o mesmo mantém-a desencriptada... Isto pode também representar um possível ponto de ataque. Mas penso que os próprios programadores já estão a trabalhar num esquema que passa pela obrigação de o utilizador, de cada vez que queira publicar um evento, ter de usar uma password, para desencriptar a chave privada do Nostr.",
"sig": "aee3a34da6978fcae730b2447c72c41a7bfaa489a24311ce1f68d1dced9dcf81aff37a8624b2ac335367e6cf64d8153ca929127ebfa05e37f73ae8b539092cdb"
}