Using web clients is dangerous.
Discussion
Why do you think this ?
I'm watching this.
Não mandas ai um link pra entendermos seu ponto? Já tentei o gossip mas não entendi bem como configura-lo
foda-se esqueci a npub nostr:npub1pjwals5scvkhn2kspm24sm70nfcc7th5f7g3fqvm8x5ra77yzu6sk8j35w
Acabei de responder, caro Putrick. Repito aqui a resposta:
Se introduzires a tua chave privada numa aplicação web o respectivo servidor vai ficar a conhecê-la. Isto nunca se deve fazer, por motivos óbvios de segurança e privacidade.
Esta quebra de segurança não acontece se usares uma aplicação que corra no teu smartphone ou computador e que seja software livre, e pois de código aberto. Isto porque se essa aplicação estivesse a enviar para um servidor externo a tua chave privada, essa instrução teria de constar do código, e seria fácilmente descoberta...
What about a browser extensions that stores your key and handle signing events?
I didn't know about the nos2x and nos2x-fox plugins. The idea is good, no doubt. Nevertheless, I have the following reservations about this type of plugin:
a) These are web browser plugins, and we well know that web browsers are not held up as an example of security. I think there could be a risk that someone could exploit a vulnerability in the web browser (e.g. Firefox) and get their hands on the private key;
b) The private key is always available, decrypted, in the plugin... In other words, the private key is never sent to the web server, but in order for the plugin to use it, it keeps it decrypted... This could also represent a possible point of attack. But I think that the developers themselves are already working on a scheme that requires the user to use a password every time they want to publish an event, in order to decrypt Nostr's private key.
Mas pra isso usamos o plugin nos2x feito pelo próprio nostr:npub180cvv07tjdrrgpa0j7j7tmnyl2yr6yr7l8j4s3evf6u64th6gkwsyjh6w6 , ou nos2x-fox (fork para o navegador firefox) que gera essas chaves offline e armazena estritamente localmente. O plugin então faz a assinatura dos events sem expor a chave privada.
Acredito que essa seja a explicação do funcionamento: https://github.com/nostr-protocol/nips/blob/master/05.md
Desconhecia os plugins nos2x e nos2x-fox. A ideia é boa, sem dúvida. Ainda assim, este tipo de plugins suscitam-se as seguintes reservas:
a) Trata-se de plugins de web browser, e bem sabemos que os web browsers não são tidos como um exemplo de segurança. Creio que poderá haver o perigo de alguém explorar alguma vulnerabilidade no web browser (v.g. Firefox) e com isso sacar a chave privada;
b) A chave privada está sempre disponível, de forma desencriptada, no plugin... Ou seja, a chave privada nunca é enviada para o servidor web, mas para que o plugin se sirva dela o mesmo mantém-a desencriptada... Isto pode também representar um possível ponto de ataque. Mas penso que os próprios programadores já estão a trabalhar num esquema que passa pela obrigação de o utilizador, de cada vez que queira publicar um evento, ter de usar uma password, para desencriptar a chave privada do Nostr.
Estou a pensar em compilar o Gossip a partir do código fonte.