Considere una aplicación web criptográfica que se basa en JavaScript alojado. Este JavaScript podría ser manipulado del lado del servidor por un mal actor, derrotando cualquier tarea criptográfica. A saber:
-
las claves privadas pueden enviarse de vuelta al servidor
-
el texto claro se puede enviar de vuelta al servidor
La API de criptografía web aborda algunas de estas preocupaciones al proporcionar primitivas criptográficas sin exponer claves, abordando el elemento 1.
Me parece que el JavaScript incorrecto todavía podría transmitir texto claro al servidor. ¿Me estoy perdiendo algo o este problema no está resuelto por Web Crypto?