Para emplear el cifrado de extremo a extremo, estoy utilizando una pequeña herramienta que cifra los contenidos que luego se publican y almacenan en nuestros servidores. Si bien hay varias preocupaciones sobre el cifrado basado en el cliente, creo que es mejor que no haya cifrado.
La herramienta no es suministrada por las propias páginas web, sino que se almacena en un servidor de confianza e inyectada por Extensiones de navegador o Bookmarklets en la página en la que queremos usar el cifrado.
Por ahora, las páginas donde se usa la herramienta también están bajo nuestro control y son algo confiables. Sin embargo, también me gusta usar la herramienta en páginas de terceros, como sitios de correo web.
Eso me hace preguntarme sobre cómo un sitio web malicioso (o incluso un sitio descuidado) puede amenazar el cifrado, por ejemplo. canalizando la clave o el texto sin formato al servidor. ¿Hay alguna posibilidad de aislar el JS inyectado, o los eventos DOM y los espacios de nombres JS proporcionan acceso que no se puede bloquear de ninguna manera? ¿Cuán grandes son las posibilidades de que los sitios "buenos" desvíen la clave por accidente?