0
Web Cryptography API에 제안 된 웹 브라우저의 JavaScript 런타임 환경에 추가하면 browserid assertions이 (가) JavaScript로 브라우저에서 안전하게 확인할 수 있습니까?웹 암호화 API를 사용하여 JavaScript에서 Browserid 어설 션 확인
A
답변
2
자바 스크립트에서 BrowserID 어설 션을 클라이언트 측에서 이미 확인할 수는 있지만 클라이언트를 신뢰할 수 없다는 것이 문제입니다.
사용자는 예를 들어 자바 스크립트를 변경하여 항상 어설 션이 유효하다고 주장하는 프록시 서버를 통해 코드를 실행할 수 있습니다. 서버 측 확인을 수행하지 않는 한, 서버 코드는 실제로 주장이 가짜 일 때 모든 것이 괜찮다고 주장하는 클라이언트에게 취약합니다.
브라우저 API가 없으면 서버에 관한 한 올바른 일을하는 클라이언트에 의존 할 수 없다는 사실이 변경됩니다. 서버 자체에서 확인 작업을 수행해야합니다.
감사합니다. 나는 두려워했지만 새로운 API가 새로운 가능성을 열어주기를 희망했다. –