Nostr Web Client

IMPORTANTE!!!!!!!!!!!

PRA QUEM USA O NOSTTER.APP !!!!!!!!!!!!

Gurizada, o nostter.app armazena a NSEC de maneira exposta, qualquer programa ou extensão que tiver acesso ao sessionstorage vai ter acesso às tuas chaves privadas.

NÃO USEM ATÉ QUE SEJA CORRIGIDO.

Simplesmente ao abrir o dev-tools foi possível achar... Segue print da evidência.

Então cuidado, não utilizar este client até que seja resolvido este problema. Deixar a chave exposta ali é muito arriscado...

OBS: chave privada ali no print é uma conta apenas de teste.

Vou tentar entrar em contato coms devs deste client (NOSTTER.APP) pra sinalizar eles desta falha de segurança.

Boa noite, minha honra, magnatas!! Fui

devsou.com 1y ago

Fiz um estudo sobre a forma correta de se armazenar a chave privada no navegador. O certo seria usar essa api, que evita a chave ser acessível através de código js:

https://developer.mozilla.org/en-US/docs/Web/API/SubtleCrypto/generateKey

Reply to this note

Please Login to reply.

Discussion

devsou.com 1y ago

@npub124rja8qp7dartasr9wdh3kk78phxunzhmq8ar5ryd2anj2qwtcnsz3tu👆

Dusk 1y ago

Nesse caso não daria pra usar JWT da mesma forma que fazemos pra autenticar um usuário em aplicações web normalmente?

devsou.com 1y ago

Não daria certo, pois o cliente precisa assinar eventos, ou seja, precisa ter acesso à chave privada. JWT só é utilizado para verificação.

Dusk 1y ago

Dei uma pesquisada rápida, e pelo visto não daria.

Até mesmo porque o nostr não tem um servidor central com os usuários cadastrados nele 🫠