opolo

поговорить о планах всегда приятнее чем их реализовывать

opolo

ещё бы починить инпут ввода а то его кособесит после отправки сообщения...

opolo

со сквозным шифрованием это лютая запара тк ключи где-то хранить надо, тут два варианта

1. хранить их на клиенте, но тогда чаты становятся одноразовыми, при сбросе одного из клиентов, личный чат становится утраченным тк появляются новые ключи
2. они все хранятся на сервере, но тогда злоумышленник при воровстве данных с сервера будет просто тырить эти ключи и потом сидеть расшифровывать...

есть конечно варианты как нибудь исхитриться, хранить сертификаты клиента на сервере, но дополнительно их шифровать при помощи пароля аккаунта, который не будет в явном виде храниться на сервере, но в таком случае тяжело подключать сторонние сервисы авторизации по типу гугла или яндекса, плюс беда при сбросе пароля...

ultrazet

Согл. Сквозное шифрование это лютый головняк, который помимо сложной реализации еще и ограничивает самого юзера.

ultrazet

Хранить ключи на серваке делает само шифрование бессмысленным. Поэтому их можно хранить только на стороне клиента. Я поизучал немного эту темку. Короче, есть также варик прятать ключи через Web Crypto API и хранить их в indexeddb в браузере. Ключи будут жить долго и у js не будет прямого доступа к ключам. В таком случае почитать переписки можно будет только на одном браузере и одном устройстве, что создает неудобства. Поэтому можно реализовать выбор между шифрованным чатом и нешифрованным. По умолчанию будет второе.

ultrazet

Почему я вообще затрагиваю эту тему? Просто я исхожу из того, что компрометация сервака это дело времени. Никто не защищен на 100%. Особенно проекты без серьезного бюджета и опыта как этот. Я бы заснуть не мог, зная, что по моей вине чьи-то переписки слиты. Еще и претензии будут

Big_Boss

короче обсуждать оление орно лучше не стоит а то нидерландцы в нас поверят