0

我喜欢 crypto.cat 用于共享敏感信息的想法。最近,我不得不将我的社会安全号码发送给我的妻子,我不想使用电子邮件/短信/IM/等...我想使用crypto.cat,但她不想在她身上安装扩展程序工作电脑,所以最后才给她打电话。

我发现自己想知道为什么甚至需要扩展。回顾他们的博客,我发现他们从纯基于 Web 的应用程序切换到了浏览器扩展。他们声称这提高了安全性,但他们没有解释原因。

查看他们的 github,代码似乎都是 javascript,所以为什么不跳过扩展名呢?我正在考虑分叉 Crypto.cat 并重新实现一个纯基于 Web 的版本,但我想在开始之前了解为什么这是一个坏主意。

到目前为止我的想法

  • 使用扩展会使网络钓鱼更加困难
4

1 回答 1

2

它有助于防止中间人的代码注入攻击。如果您每次想使用该服务时都去 Crypto.cat 网站,您的浏览器会下载应用程序源代码来执行。MITM 可以利用这个机会注入代码,这会破坏服务的整体安全性。除非您非常密切地关注证书和整个信任链,否则即使 SSL 也不一定有太大帮助,因为 MITM 可能会插入他自己的证书。

在受信任的条件下安装浏览器扩展可以减轻这些担忧,因为那时整个代码已经在你的机器上,没有人可以注入任何东西。

于 2013-09-27T15:27:27.413 回答