Signed HTTP
Hallo,
mich quält mal wieder eine Idee: HTTPS sichert bekanntlich die Verbindung zum Server - ja, aber was, wenn man dem Server nicht vertraut?
Z.B. ist es möglich, E-Mails mit PGP in Javascript zu verschlüsseln. Der eigene Key wird verschlüsselt auf dem Server gespeichert und mit dem Passwort erst im Browser entschlüsselt. So kennt auch der Hoster nicht die Daten (Die wenigsten betreiben ja einen eigenen Server...)
Nun ist es aber denkbar, dass das PGP-js-Script auf dem Server kompromittiert wurde (Weil die NSA beim Hoster Zugriff hat, weil ein anderes Projekt auf dem Server eine Sicherheitslücke hat, ...). Dafür wäre es doch eine gute Sache, wenn der Entwickler des Frontends sämtliche .html .js und .css-Files per Kommentar in der letzten Zeile signieren könnte. Man gibt dann shttp:// in der Adresszeile ein und der Browser zeigt einem an, von welchen Entwicklern das Frontend kommt. Je nach Sicherheitsbedürfnis kann man dann mit Whitelisting arbeiten, so wie bei PGP.
Also shttp gibt/gab es mal, aber als Alternative zu https. Hat mal jemand etwas von signiertem HTTP gehört?
|