Sto creando un'app di Chrome che esegue la crittografia lato client dei messaggi degli utenti. Non c'è un server nella mia architettura. I messaggi di testo crittografati vengono salvati come file nel Google Drive dell'utente. Sto usando la libreria javascript di forge per crittografare i messaggi. Voglio che la password dell'utente venga utilizzata per la crittografia e la decrittografia, senza salvarla da nessuna parte.
Attualmente ho il sale e IV codificati nel codice javascript. Ma questo significa che è disponibile a chiunque installi l'app di Chrome. È meglio generare un IV casuale e salt per ogni messaggio e salvarlo nel Google Drive dell'utente insieme ai messaggi crittografati? O è abbastanza buono da averlo codificato come js globale? C'è un modo più sicuro per farlo?