Open pomali opened 10 months ago
A na niektorych weboch robime aj "fake odpovede" ako napriklad v getSignerIdentification
, je to sposobene tym, ze autogram je "synchronny" a bezstavovy (podpisat objekt); a dsigner asynchronny a stavovy (pridat objekt, podpisat, ziskat podpisy)
na slacku vznikol napad pouzit autogram hocikde https://slovensko-digital.slack.com/archives/C0564RNLT62/p1702287588462359?thread_ts=1702021755.373589&cid=C0564RNLT62
co nie je zle, ale na co musime mysliet
zaujimava diskusia aj na https://github.com/slovensko-digital/autogram-extension/pull/78
V tejto suvislosti by mohlo byt zaujimave zbierat udaje na akych weboch ludia skusaju pouzit autogram. Plus samozrejme by to chcelo suhlas usera s poskytovanim mena domeny, ci url, lebo IP+domena (napr. nejaka "citliva") je dost citlivy osobny udaj.
najhorsi problem tu je testovanie, lebo na vela miestach to bude rozbite, aj ked to mozu byt iba drobnosti/lahke opravy, povolit na vsetkych weboch by nemal byt default asi
Rozne weby potrebuju rozne sposoby injectovania, niektore maju podpisovanie v iframe (socpoist), niektore asynchronne nacitavaju dsigner (bratislava, minv) a tak podobne, asi by sme mali rozlisovat na ktorom webe sme a podla toho pouzit funkcny sposob. Pripadne mozeme mat nejaku spray&pray strategy (technicky to robime teraz)
Takisto su aj rozne verzie ditec skriptov ktore mozno musime podporovat