Страница lesspass.com задумана как одностраничное веб-приложение с чрезвычайно важной функцией прямого приема мастер-паролей людей.
Некоторым это покажется глупым, но я предложу это.
Чтобы сделать эту страницу более безопасной, я рекомендую, чтобы все ресурсы на этой странице были встроены. Как в одном HTML-файле, включая все стили, изображения (SVG) и все необходимое для его отображения. Возможно, одно исключение - lesspass.js.
Это упрощает подтверждение отсутствия уловок, звонков домой или других сетевых запросов.
Можно реализовать здесь https://github.com/lesspass/lesspass/tree/master/packages/lesspass-site
см. # 369 для фона
Да, это действительно хорошая идея.
Единственная сложность - в инструментах.
@ edouard-lopez это не PWA, это скорее встраивание всего в один html-файл. Если мы сможем одновременно удалить минификацию, любому будет очень легко провести аудит. Просто скачайте HTML и проверьте хеш. Смотрите между разными версиями, изменения.
Самый полезный комментарий
@ edouard-lopez это не PWA, это скорее встраивание всего в один html-файл. Если мы сможем одновременно удалить минификацию, любому будет очень легко провести аудит. Просто скачайте HTML и проверьте хеш. Смотрите между разными версиями, изменения.