>> Капитан намекает что твиты больно короткие чтобы туда еще и подпись влезла.
> Нет.В твит даже просто пубкей не влезет. В лучшем случае его fingerprint только. Ну и сама подпись. А сообщение... да ну его нафиг, кому нужны сообщения? Нехай только из подписи и состоит :)))
>> А она, ВНЕЗАПНО, есть.Вы только представьте себе, можно подписать сообщение и
>> например скопипастить его.
> Нет. Подчищать пробелы и убирать всевозможное форматирование типа - |b| |/b|
> предлагаете вручную.
А знаете в чем проблема? Вы подпишете сообщение, а движок на сервере что-то такое же по смыслу подправит. И ваша подпись на раз пойдет псу под хвост, став невалидной. Единственный известный мне метод лечения - использование плейнтекста и постинг в виде характерно оформленного блока. На его офромление всяикми |b| и любыми элементами которые парсятся сервером вам придется забить, под страхом инвалидации цифровой подписи. Если сервер поменяет хоть 1 бит (а может) - подпись в миг станет невалидной. И кроме |b| есть и еще куча потенциально проблемных мест.
>> Для почтовиков есть и более цивильные решения.
> Нет. Почтовые программы не нужны.
Вам не нужны? Не пользуйтесь. А я вот предпочитаю удобный и быстрый почтовик. Настроенный как мне удобно. Интерфейс которого не зависит от прихоти гугла или кого там еще. Почта в котором мне доступна даже без наличия интернета. Мне так удобнее - вебфэйсы это удел ламеров которым положить на удобство и скорость своей работы.
>> Не, как раз нормально. Даже отлично. Вот ляпнете вы сгоряча лишнего - велкам в суд.
> Вам может и отлично. А вот я дееспособный совершеннолетний гражданин и отвечаю
> за свои слова. И редактировать мои сообщения без моего ведома не нужно.
В нашей стране можно ответить за что угодно ;)
>> И как ваши ключи помешают взлому?
> Когда очередной раз взломают админку очередного форума и все ваши сообщения заменят
> на ссылку на CP/ломаные программы/расизм, тогда вы расскажите нужно подписывать сообщения
> или не нужно.
Пусть себе заменяют. А я тут при чем? Я этого не делал же. Ну наспамил какой-то козел, все вменяемые люди поймут что я тут не при чем и имел место взлом. Куда хуже будет если взломают именно _меня_ и не только отспамят, но еще и моим ключом подпишут. А вот в этом случае - иди потом доказывай что не верблюд. Если сообщение с "CP/ломаные программы/расизм" будет подписано моим ключом - вот тут уже все шансы огрести неприятностей. А то что это какой-то там хакер отдуплился (тем более что реализация на JS+HTML как правило склонны к XSS/CSRF и прочим на радость оным) - иди еще докажи. Не будешь же ты товарищу майору который браузер впервые в жизни видит про CSRF рассказывать? Да и загружаемый с ремотного сервера скрипт - недоверяемая штука. Вылезет MITM и воткнет свой скрипт в то место где был правильный. Отличием будет то что он тырит привкей сливая его на хаксорский сервант. А вот после этого хакер сможет везде гадить от моего имени только в путь. Все-таки почтарь или браузер я с левого сайта качать не буду, и MITM не имеет внятных шансов раздать их мне когда ему приспичит. А вот с JS - да запросто.
И кстати наивный вопрос: если модератор захочет исправить сообщение, что помешает ему просто удалить цифровую подпись с корнем? Нет подписи - нет проблем с ее валидацией :)))
>> Дык это и сейчас можно. Что-то типа curl page | sha1sum -
> То что получит curl и то что увидите вы две большие разницы.
Зависит от сайта, но вообще - бывает, да. Но опять же - можно разобраться и откуда аякс данные тягает и уже для них считать, например. Никакой ракетной науки там нет.
> Показать сайт который уже давнеько торгует виагрой, но владелец не знает
> об этом? Наверное также проверяет.
Хм... не понял к чему тут виагра. Если вы о том что кто-то про виагру дописать может - ну он и sha1 может переписать тогда по логике вещей. Не вижу что вообще дает sha1 сам по себе.
>> зачем? Это будет весьма тормозно и будет заметно жрать проц.
> Скажите честно вы пьяны?
Отвечаю честно: вы web`анулись :))). Знаете, любой инструмент хорош в меру. Веб - в частности.
