著者: boyska 日付: To: hackmeeting 題目: Re: [Hackmeeting] opinioni su crypto.cat?
On Fri, Sep 04, 2015 at 02:29:22PM -0300, Elettrico wrote: >Il 04/09/2015 14:11, lobo ha scritto:
>> crypto + javascript = sbagliato
>
>sono pure d'accordo, ma il tutto avviene lato client.
lato client vuol dire poco. E pure il linguaggio dice poco. La questione
che mi pare invece importante è che il browser è al momento il posto più
vulnerabile del proprio computer, quindi mettere cose proprio lì non è
una grande mossa.
Il vecchio cryptocat faceva tutto addirittura nel DOM, che è un'idea
assurda (non puoi ottenere niente di più sicuro del sistema delle CA,
che è pessimo). Quello nuovo è un'estensione per browser, quindi c'è
qualche proprietà di sicurezza in più. Però tipo su firefox non molte.
Su chrome non ne so abbastanza per esprimermi, però un problema
importante è da chi lo scarichi? chi firma il pacchetto? come verifichi
l'integrità? Se mi devo fidare dei certificati di google siamo da capo a
dodici. Se lo devo scaricare da un browser, e non ho mezzi di verifica
aggiuntivi, uguale.
Non so se l'estensione è pacchettizzata in qualche distribuzione, questo
potrebbe cambiare un po' lo scenario.