Javascript 为什么浏览器扩展比纯基于web的应用程序更安全?
我喜欢crypto.cat分享敏感信息的想法。最近,我不得不给我妻子发我的社会保险号码,我不想使用电子邮件/短信/即时通讯等。。。我想用crypto.cat,但她不想在她的工作电脑上安装分机,所以就给她打了电话 我发现自己很纳闷,为什么还要延期。回顾他们的博客,我发现他们从纯基于web的应用程序转向了浏览器扩展。他们声称这可以提高安全性,但没有解释原因 通过github查看,代码似乎都是javascript,那么为什么不跳过扩展呢?我正在考虑分叉Crypto.cat并重新实现一个纯基于web的版本,但我想在开始之前理解为什么这是个坏主意 到目前为止我的想法Javascript 为什么浏览器扩展比纯基于web的应用程序更安全?,javascript,security,encryption,Javascript,Security,Encryption,我喜欢crypto.cat分享敏感信息的想法。最近,我不得不给我妻子发我的社会保险号码,我不想使用电子邮件/短信/即时通讯等。。。我想用crypto.cat,但她不想在她的工作电脑上安装分机,所以就给她打了电话 我发现自己很纳闷,为什么还要延期。回顾他们的博客,我发现他们从纯基于web的应用程序转向了浏览器扩展。他们声称这可以提高安全性,但没有解释原因 通过github查看,代码似乎都是javascript,那么为什么不跳过扩展呢?我正在考虑分叉Crypto.cat并重新实现一个纯基于web的版
- 使用扩展将使网络钓鱼更加困难
一旦在可信条件下安装浏览器扩展,这些问题就会得到缓解,因为所有代码都已经在您的机器上,没有人可以注入任何东西 这个问题似乎是离题的,因为它是关于安全性的,属于我。我真的认为这是唯一的好处,我只是通读了他们的文章,这似乎是唯一明显的好处。我也不认为浏览器给了扩展任何额外的特权,但我可能错了。有趣的帖子。@rosscowar主要问题是代码注入。但当他第一次转换到扩展模型时,firefox并没有为普通网站提供安全的随机性源。因此,一个合适的CSPRNGAPI当然是另一个优势。至于随机性,为什么不使用“摆动鼠标”技巧呢?很好!因此,MITM附加可能会注入一个函数,将私钥发送给第三方。从那里,他们可以监听任何对话。我仍然认为,对于我上面解释的场景,有一个非扩展版本(带有一个巨大的免责声明)会很好。