Considerare un'applicazione web crittografica che si basa su JavaScript ospitato. Questo JavaScript potrebbe essere manipolato lato server da un cattivo attore, sconfiggendo qualsiasi attività crittografica. Vale a dire:
-
le chiavi private potrebbero essere restituite al server
-
il testo in chiaro può essere rinviato al server
L' API di crittografia Web risolve alcuni di questi problemi fornendo primitive crittografiche senza esporre le chiavi, indirizzando l'elemento 1.
Mi sembra che il male JavaScript possa ancora trasmettere il testo in chiaro al server. Mi manca qualcosa o questo problema non è stato risolto da Web Crypto?