Javascript 签名页面内容和脚本_Javascript_Angularjs_Security_Encryption

Javascript 签名页面内容和脚本

javascript angularjs security encryption

Javascript 签名页面内容和脚本,javascript,angularjs,security,encryption,Javascript,Angularjs,Security,Encryption,我们正在制作一个客户端/服务器密码管理和共享应用程序，其中的加密和解密是通过Javascript完成的（可能）现在的问题是如何分发应用程序。我们考虑了浏览器插件，因为它们可以被签名。但是我们必须为每个浏览器制作一个插件攻击向量如下：如果一个破解者可以访问分发该应用程序的Web服务器，他也可以注入代码来嗅探解密代码。想法：向用户分发一个app.html，其中包含完整的OpenPGPJS代码以及我们的公钥。接下来，下载每个文件的Javascript和HTML部分以及PGP签名，并根据捆绑密钥

我们正在制作一个客户端/服务器密码管理和共享应用程序，其中的加密和解密是通过Javascript完成的（可能）

现在的问题是如何分发应用程序。我们考虑了浏览器插件，因为它们可以被签名。但是我们必须为每个浏览器制作一个插件

攻击向量如下：如果一个破解者可以访问分发该应用程序的Web服务器，他也可以注入代码来嗅探解密代码。想法：

向用户分发一个app.html，其中包含完整的OpenPGPJS代码以及我们的公钥。接下来，下载每个文件的Javascript和HTML部分以及PGP签名，并根据捆绑密钥验证它们

编辑当然，app.html应该通过第二种方式分发并通过身份验证

通过这种方式，我们可以轻松升级应用程序（只要我们不需要对加载程序代码进行修复）

web应用程序本身将使用AngularJS编写

这样行吗

是否已经有一个库/模式可以解决类似的问题？

“如果黑客可以访问分发应用程序的web服务器，他也可以插入代码来嗅探解密的代码。”-是的，如果您需要连接来下载代码，则始终可以这样做。是什么让您认为初始验证代码按预期工作？除了创建一个适当的浏览器扩展之外，您不能做任何事情，它在某种程度上仍然容易受到攻击。@ArtjomB。

app.html

应通过另一种方式分发，并永久存储在客户端上。