Как давний разраб в области защиты данных, каждый раз, когда приходится использовать плагин для браузера, меня мороз по коже пробирает. В самом деле, путем не самых сложных атак злоумышленник может подписать наешй подписью вообще все что угодно - дарственную на квартиру например, или расписку что брал у бандита мильярд.

Проблема состоит в том, что как только вы одобрили что сайт может получить доступ к ЭЦП, никаких других проверок у нас нет, и нам остается только слепо веровать, что данный сайт (зачастую написанный и установленный без особенных усилий по безопасности) ничего дурного делать не будет. В то время как сайты ломаются каждый день пачками, в том числе через сидиэны и зависимости, через supply chain и в конце концов через многочисленные дыры в интелевских процессорах и контроллерах ПДП. Нарваться на вредоносный сркипт который за вас что то подпишет, это вопрос времени, особенно в нынешних условиях.

В связи с этим огромная просьба господам разрабам, коль скоро уж вы ввязались в это неблагодарное дело, выводите, пожалуйста, каждый раз подтверждение ЧТО МЫ ПОДПИСЫВАЕМ. Выводите подписываемые документы - хоть дампы в конце концов, чтобмы мы могли увидеть что именно мы подписываем. А мы вьюверов к ним поналепим. Потому как наприер пока сайт подписывает правильную бумажку, вредонос может подписать что то еще - и по миганию токена это поди пойми, да и поздняк метаться. Потому как вероятность поставить сломанный CSP/плагин несоизмеримо меньше чем нарваться на взломанный сайт.

Заранее спасибо.