Комментарии 7
Почему sourceforge? Почему перерыв в пять лет между двумя последними версиями? Почему вы считаете эту библиотеку безопасной с точки зрения side-channel атак?
Math.floor(65536 * Math.random())Кхм… Я думаю, эту реализацию CSPRNG можно закапывать.
Я не считаю себя специалистом в криптографии. И не заявлял что она безопасна.
Убедительным доказательство считаю что она даёт те же результаты при кодировании AES-CBC что и OpenSSL. И это легко проверить.
Убедительным доказательство считаю что она даёт те же результаты при кодировании AES-CBC что и OpenSSL. И это легко проверить.
Это абсолютно неубедительное и, увы, совершенно не доказательство. То, что библиотека выдает те же значения не означает, что в ней нет уязвимостей — например, что шифрование и дешифрование выполняется всегда за одно и то же время для любых комбинаций ключей и открытого текста. Или что вызов garbage collector-а не является причиной наблюдаемых задержек для определенных комбинаций данных. Или что
Math.floor(65536 * Math.random()) — это не самая лучшая реализация CSPRNG. Даже если это потом скормить RC4, это все равно адский шлак.
А какой смысл посетителю доверять js-шифрованию?
Ведь автор сайта может в любой момент как угодно изменить js и перестать шифровать, а пользователь этого не увидит.
Разве что заманить пользователя якобы end2end-шифрованием, а потом озолотиться продавая его секреты.
Ведь автор сайта может в любой момент как угодно изменить js и перестать шифровать, а пользователь этого не увидит.
Разве что заманить пользователя якобы end2end-шифрованием, а потом озолотиться продавая его секреты.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Шифрование на JavaScript с использованием библиотеки pidCrypt