我们正在制作客户端/服务器密码管理和共享应用程序,其中加密和解密通过Javascript(可能是OpenPGPJS)完成。
现在问题是如何分发应用程序。我们考虑过浏览器插件,因为它们可以签名。但是我们必须为每个浏览器制作一个插件。
攻击媒介如下:如果一个破解者可以访问分发应用程序的Web服务器,他还可以注入代码来嗅探解密的代码。
点子:
将app.html分发给包含完整OpenPGPJS代码和公钥的用户。接下来,下载每个文件的Javascript和HTML部分以及PGP签名,并根据捆绑密钥验证它们。
修改 app.html应通过第二种方式进行分发并进行身份验证。
这样我们就可以轻松升级应用程序(只要我们不需要修改加载程序代码)。
网络应用程序本身将用AngularJS编写。
那会有用吗?
可能已经有一个库/模式解决了这样的问题吗?