Можно ли сделать RSA авторизацию на сайте, но чтоб пользователь не кидал каждый раз свой приватный ключ на страницу?
Идея в том, что пользователь может закрыть доступ к своему аккаунту по паролю, загрузив на сервер свой публичный ключ, с этим проблем нет.
Проблема в том, как получать приватный ключ пользователя. Читать файловую систему можно только через FileApi - то есть пользователь должен при каждой авторизации кидать на страницу файл приватных ключей.
Хранить в LocalStorage кажется не очень безопасным - уведут LocalStorage = уведут акк
Возможно в браузерах есть возможность более безопасной привязки приватного ключа к сайту?
Если кто-нибудь получает доступ к LocalStorage извне - он получает доступ и к полу password, что равно - "уведет акк". То есть поле password тоже надо бы отключить :D Если нужно более безопасное место для хранения - пиши плагины к браузерам. Вроде единственный выход.
А вообще проще купить сертификат SSL. Или бесплатный китайский взять)
Простой
