基于JavaScript的加密签名?

时间:2009-10-11 16:19:22

标签: javascript browser cryptography signing

我正在与一群特别偏执的用户打交道,他们可能希望在提交之前对我的网站的贡献进行签名(例如使用GPG密钥)。

虽然我可以向他们展示一个“片段”来复制并粘贴到他们的GPG工具中,但让浏览器这样做肯定会更好。有了最近浏览器的JS性能,我不确定这个请求是否像听起来一样愚蠢。

是否有针对此的现有解决方案,或者您是否可以列举一般反对这种方法的充分理由?

2 个答案:

答案 0 :(得分:4)

Already been done

答案 1 :(得分:-1)

当时的原因

  1. 您需要解锁私钥 - 使用JavaScript无法执行此操作
  2. 然后,您需要将私钥加载到浏览器中。即使你可以,这会带来巨大的风险,因为JavaScript可以将其发送到其他地方
  3. 加密计算量很大。 JavaScript本来就足够慢。
  4. 跨网站脚本和JSON注入意味着,如果您的网站中存在漏洞,您的JavaScript可能会被替换 - 因此即使您的代码本身存在,攻击者也可能会注入不起作用的脚本。

    5. 的原因

    不,想不出任何。

相关问题
最新问题