Die Seite lesspass.com soll eine einseitige Web-App mit der äußerst wichtigen Funktion sein, die Master-Passwörter von Personen direkt zu akzeptieren.
Das wird für einige Leute dumm klingen, aber ich werde es vorschlagen.
Um diese Seite sicherer zu machen, empfehle ich, alle Ressourcen auf dieser Seite inline einzubinden. Wie in einer HTML-Datei mit allen Stilen, Bildern (SVG) und allem, was zur Anzeige benötigt wird. Eine Ausnahme ist möglicherweise lesspass.js.
Dies erleichtert die Bestätigung, dass es keine Tricks gibt, kein Telefonieren nach Hause, keine anderen Netzwerkanfragen.
Kann hier implementiert werden https://github.com/lesspass/lesspass/tree/master/packages/lesspass-site
siehe #369 für Hintergrund
Ja, das ist eine wirklich gute Idee.
Die einzige Schwierigkeit liegt im Werkzeug.
@edouard-lopez es ist nicht PWA, sondern alles in einer HTML-Datei. Wenn wir die Minimierung gleichzeitig entfernen können, ist es für jeden sehr einfach, ein Audit durchzuführen. Laden Sie einfach den HTML-Code herunter und überprüfen Sie den Hash. Sehen Sie zwischen verschiedenen Versionen die Änderungen.
Hilfreichster Kommentar
@edouard-lopez es ist nicht PWA, sondern alles in einer HTML-Datei. Wenn wir die Minimierung gleichzeitig entfernen können, ist es für jeden sehr einfach, ein Audit durchzuführen. Laden Sie einfach den HTML-Code herunter und überprüfen Sie den Hash. Sehen Sie zwischen verschiedenen Versionen die Änderungen.