user32847 schrieb:
Man kann mit Browsern – oder besser gesagt mit JavaScript, CSS und insbesondere HTML5 – inzwischen sehr, sehr viel machen. Viele Webseiten sind so dynamisch, dass man die schon fast als eigenständige Anwendungen betrachten kann für die der Browser nur die Laufzeitumgebung ist. Man schaue sich dazu nur mal Google Docs an, das ist eine Office-Suite im Browser und technisch beeindruckend. Mit ihrem Chrome-OS treibt Google das Konzept auf die Spitze.
Der GNOME-Desktop hat inzwischen viele Anteile, die in JavaScript geschrieben werden, XUL ist eine Technik, die einem erlaubt viele Programm-Elemente (vor allem GUI) in XML und CSS zu erstellen, die Darstellung übernimmt die Rendering-Engine die sonst auch Webseiten anzeigt.
Sie kann auch genau so unsicher sein. Eine Desktop-Anwendung ist nicht alleine deshalb sicher, weil sie „nicht im Browser“ läuft. Allerdings haben solche Web-Anwendungen die in einem Browser ausgeführt werden ihre eigenen Herausforderungen. Cross-Site-Scripting zum Beispiel. Man könnte recht leicht denken, dass die deshalb generell unsicherer sein müssen als „Desktop-Anwendungen“ aber Desktop-Anwendungen haben halt ihre eigenen Herausforderungen.
Mal ein Beispiel: jeder Tab in einem Browser wird mittlerweile in einer eigenen Sandbox ausgeführt. Daraus auszubrechen ist nicht leicht und die Browserentwickler arbeiten daran, das noch sicherer zu machen. Zugriffe auf die Festplatte sind (oder sollten zumindest) nicht ohne Weiteres möglich sein (wegen der Sandbox).
Umgekehrt: eine Desktop-Anwendung, irgendwo ein Binary runtergeladen, ins Homeverzeichnis kopiert und ausgeführt … hat vollen Zugriff auf das Homeverzeichnis, ohne Hürden.
Ich glaube absolute Sicherheit gibt es nie und man muss der Software, die man ausführt vertrauen. Bei Webanwendungen sind in relativ offenen Standards geschrieben, nicht kompiliert – die sind praktisch automatisch Open Source. 😉
Das steht ja in dem von dir verlinkten PDF. Wolltest du, dass wir das für dich lesen? Ein Vorteil ist ganz klar, dass es unabhängig vom Betriebssystem immer funktioniert. Man kann es sogar nutzen, wenn man keine Berechtigungen hat Anwendungen zu installieren. Das ist jedenfalls einer der zentralen Vorteil von solchen Webanwendungen (nicht nur dieser).
Ich will das aber nicht schön reden. Dazu fehlt mir auch die Kompetenz und die Detail-Kenntnis von miniLock. Solche Sicherheitslösungen sprießen gerade wie Pilze aus dem Boden, irgendwie erfindet da jeder was eigenes und ich hab den Eindruck, dass „Crypto“ irgendwie fragmentiert, anstatt gemeinsam an einem starken Standard zu arbeiten (https://xkcd.com/927/ oder so)
Edit: Einen winzigen Kritikpunkt hätte ich aber schon. Wenn ich das richtig verstehe, wird da der Schlüssel von einem Passwort abgeleitet – Und das soll angeblich überall ohne zusätzliche Daten funktionieren. Da kann also eigentlich kein Salt_(Kryptologie) oder sonstiges in der Ableitung drin sein. Ich kenne doch diese Passwort-Listen passwort1234
, peter1984
… die größte Schwachstelle ist immer der Mensch, aber das scheint mir (sehr oberflächlich betrachtet) doch zu einfach zu sein.
Ich werde jedenfalls bei GnuPG bleiben und mir solche Projekte aus sicherer Entfernung anschauen, abwarten und davon träumen, dass es mal einen Standard gibt, der sicher ist wie PGP aber einfach zu bedienen für die Massen. Bis dahin …
~jug