Di blog Cloudflare, seorang insinyur riset senior berbagi rencana untuk “meningkatkan kepercayaan JavaScript di web.” “Hari ini sama benarnya dengan pada tahun 2011 bahwa kriptografi Javascript Dianggap Berbahaya.” Masalah utamanya adalah distribusi kode. Pertimbangkan aplikasi web perpesanan yang terenkripsi ujung ke ujung. Aplikasi ini menghasilkan kunci kriptografi di browser klien yang memungkinkan pengguna melihat dan mengirim pesan terenkripsi ujung ke ujung satu sama lain. Jika aplikasi disusupi, apa yang dapat menghentikan pelaku kejahatan untuk sekadar memodifikasi Javascript mereka untuk mengekstrak pesan? Menarik untuk dicatat bahwa aplikasi ponsel pintar tidak mengalami masalah ini. Hal ini karena toko aplikasi melakukan banyak pekerjaan berat untuk memberikan keamanan bagi ekosistem aplikasi. Secara khusus, mereka memberikan integritas, memastikan bahwa aplikasi yang dikirimkan tidak dirusak, konsistensi, memastikan semua pengguna mendapatkan aplikasi yang sama, dan transparansi, memastikan bahwa catatan versi suatu aplikasi jujur dan dapat dilihat oleh publik. Alangkah baiknya jika kita bisa mendapatkan properti ini untuk aplikasi web terenkripsi ujung ke ujung, dan web secara keseluruhan, tanpa memerlukan satu otoritas pusat seperti toko aplikasi. Lebih lanjut, sistem seperti itu akan menguntungkan semua penggunaan kriptografi dalam browser, bukan hanya aplikasi yang dienkripsi secara end-to-end. Misalnya, banyak LLM rahasia berbasis web, dompet mata uang kripto, dan sistem pemungutan suara menggunakan kriptografi Javascript dalam browser untuk langkah terakhir rantai verifikasi mereka. Dalam postingan ini, kami akan memberikan gambaran awal tentang sistem yang disebut Integritas, Konsistensi, dan Transparansi Aplikasi Web (WAICT) yang telah kami bantu penulisnya. WAICT adalah upaya yang didukung W3C di antara vendor browser, penyedia cloud, dan pengembang komunikasi terenkripsi untuk memberikan jaminan keamanan yang lebih kuat ke seluruh web… Kami berharap dapat membangun konsensus yang lebih luas mengenai desain solusi dalam waktu dekat…. Kami ingin memiliki cara untuk menegakkan integritas di seluruh situs, yaitu setiap aset dalam domain. Untuk ini, WAICT mendefinisikan manifes integritas, file konfigurasi yang dapat disediakan situs web kepada klien. Salah satu item penting dalam manifes adalah kamus hash aset, yang memetakan hash milik suatu aset yang mungkin dimuat browser dari domain tersebut, ke jalur aset tersebut. Postingan blog tersebut menunjukkan bahwa protokol WEBCAT (dibuat oleh Freedom of Press Foundation) “memungkinkan pemilik situs untuk mengumumkan identitas pengembang yang telah menandatangani manifes integritas situs, yaitu, telah menandatangani semua kode dan aset lain yang situs tersebut sajikan kepada pengguna… Kami telah membuat WAICT cukup dapat diperluas untuk memuat WEBCAT di dalamnya dan mendapatkan manfaat dari komponen transparansi.” Proposal tersebut juga membayangkan layanan yang menyimpan metadata untuk situs yang mendukung transparansi di web (bersama dengan “saksi” yang memverifikasi pohon awalan yang menyimpan hash untuk manifes domain). “Kami masih sangat awal dalam proses standarisasi,” dengan harapan untuk segera “mulai melakukan standarisasi format manifes integritas. Dan setelah itu kami dapat mulai melakukan standarisasi semua fitur lainnya. Kami bermaksud untuk mengerjakan spesifikasi ini bersama-sama dengan browser dan IETF, dan kami berharap untuk segera memiliki beberapa versi beta yang menarik. Sementara itu, Anda dapat mengikuti draf spesifikasi transparansi kami,/A>, memeriksa masalah yang terbuka, dan berbagi ide Anda.”
Baca lebih lanjut cerita ini di Slashdot.
