对的,至少知道它即将要干什么。
但是端上似乎很难做到这点,只能用damus这种开源的了。
网页版倒是可以尝试一下各种支持插件私钥的版本。
如果存恶意,extension也可以泄露私钥,签名确认更多是让给你知道网页客户端要做什么,而且有人图方便直接就选择签名始终允许了。
还是那句话,用户越主张权利,自己要做的就越多,很多时候是个权衡问题。
Please Login to reply.
但是extension可以开源,从而把这个信任传递到非开源的客户端。
这样就把风险收敛到一处了。
安全成本都是相对的,与数据价值对应的。
开源闭源理应留给市场选择,闭源也不都为了作恶,也有商业的原因。如果nostr只强调开源,它就不可能重构web。
为了能让闭源更好地发展,所以我们才要帮他们获取信任。
alby是最好的选择,它在支持基本功能的同时避免了闭源客户端的作恶,这才最大限度给了客户端闭源的自由。
对,不过仍然有值得优化的地方。extension 权限颗粒度上也可以更加细化一些,比如加解密和 kind 1 签名适合让用户选择始终允许,但是 metadata kind 就慎重一点
是的,这样区分比现在体验更好。
其实询问用户的前提是用户知道问的是啥,这个很复杂…
