Autor: Joe Data: Para: hackmeeting Assunto: Re: [Hackmeeting] Mailvelope
On 7/4/13 11:41 AM, ono-sendai wrote: > Qui [0] c'e' il report dell'audit fatto da una societa' esterna (e finanziato
> dall' Open Technology Fund (RFA) ). La situazione non era proprio rosea,ma
> adesso sembra abbiano fixato parecchia roba [1]. Oltre questo non ho trovato
> altri audit (ma ho cercato poco :P)
Se non ho capito male, mettono la tua chiave privata nel dom della
pagina quando la usano (si, fanno encryption con javascript). Quindi
suppongo accessibile da *qualsiasi* javascript incluso.
FAIL!
Non e' un caso che quelli che gli han fatto l'audit nel tentativo di
migliorare le cose gli hanno fatto fare dei popup/editor esterni, che e'
poi tanto uguale come esperienza utente ad usare un editor che critta in
automatico quel che scrivi. C'hai solo il pulsantino per lanciarlo dal
browser.