Per utilizzare la crittografia end-to-end, sto utilizzando un piccolo strumento che crittografa i contenuti che vengono poi pubblicati e archiviati sui nostri server. Mentre ci sono diverse preoccupazioni sulla crittografia basata su client, penso che sia meglio di niente crittografia.
Lo strumento non viene distribuito dalle pagine Web stesso, ma memorizzato su un server affidabile e inserito da estensioni browser o bookmark nella pagina in cui vogliamo utilizzare la crittografia.
Per ora, le pagine in cui viene utilizzato lo strumento sono anch'esse sotto il nostro controllo e un po 'affidabili. Tuttavia, mi piace usare lo strumento anche su pagine di terze parti, come i siti webmail.
Questo mi fa interrogare su come un sito Web dannoso (o anche solo sciatto) possa minacciare la crittografia, ad es. incanalando la chiave o il testo normale sul server. C'è qualche possibilità di sandboxing del JS iniettato, oppure gli eventi DOM e gli spazi dei nomi JS forniscono accesso che non può essere bloccato in alcun modo? Quanto sono grandi le probabilità che i siti "buoni" possano sifonare la chiave per sbaglio?