Thema: Signed HTTP
Einzelnen Beitrag anzeigen
  #1 (permalink)  
Alt 29.05.2016, 14:08
MitjaStachowiak MitjaStachowiak ist offline
Erfahrener Benutzer
XHTMLforum-Mitglied
Thread-Ersteller
 
Registriert seit: 09.10.2010
Beiträge: 154
MitjaStachowiak befindet sich auf einem aufstrebenden Ast
Standard Signed HTTP

Hallo,
mich quält mal wieder eine Idee: HTTPS sichert bekanntlich die Verbindung zum Server - ja, aber was, wenn man dem Server nicht vertraut?

Z.B. ist es möglich, E-Mails mit PGP in Javascript zu verschlüsseln. Der eigene Key wird verschlüsselt auf dem Server gespeichert und mit dem Passwort erst im Browser entschlüsselt. So kennt auch der Hoster nicht die Daten (Die wenigsten betreiben ja einen eigenen Server...)

Nun ist es aber denkbar, dass das PGP-js-Script auf dem Server kompromittiert wurde (Weil die NSA beim Hoster Zugriff hat, weil ein anderes Projekt auf dem Server eine Sicherheitslücke hat, ...). Dafür wäre es doch eine gute Sache, wenn der Entwickler des Frontends sämtliche .html .js und .css-Files per Kommentar in der letzten Zeile signieren könnte. Man gibt dann shttp:// in der Adresszeile ein und der Browser zeigt einem an, von welchen Entwicklern das Frontend kommt. Je nach Sicherheitsbedürfnis kann man dann mit Whitelisting arbeiten, so wie bei PGP.

Also shttp gibt/gab es mal, aber als Alternative zu https. Hat mal jemand etwas von signiertem HTTP gehört?
Mit Zitat antworten
Sponsored Links