2
현재 진행중인 오픈 소스 프로젝트에 대한 정보가 필요하면 웹 사이트를 신뢰할 수있는 사람이 필요합니다. 기본적으로 사용자는 자신의 휴대 전화에 "foo"라고 적습니다. 그것은 "foo"라는 메시지를 웹 사이트에 보내고이 사용자의 PC에서 실행되는 서버로 보냅니다. 나는 사람들이 서버가 "foo"를 "bar"로 변경하지 않았 음을 확신하기를 원한다. 나는 내가 악의적이지는 않지만 잠재적 인 사용자는 그것을 모르기 때문에 내가 그들을 신뢰해야한다는 것을 안다.Heroku와 Github이 동일한 코드를 실행 함을 증명하십시오.
두 가지 가능성이 있습니다. 첫 번째는 암호화를 사용하는 것입니다. 사용자는 자신의 전화 "abc"에서 암호화하고 사용자 PC에서 실행중인 서버가 암호를 해독합니다. 그러나 사용자에게는 (다른 앱에서이를 암호화해야 할 필요가 있습니다) 성가시다. 두 번째 가능성은 서버에서 실행중인 코드를 표시하여 악의적이지 않은 사용자를 설득하는 것입니다. Github에 코드를 쉽게 표시 할 수 있습니다. 문제는 어떻게 Github에서 실행되는 코드가 Heroku에서 실행되는 코드와 동일한 지 확인할 수 있습니까?
사용자에게 무엇을 보여 주든지, 그녀는 실제로 서버를 실행하고 있다는 사실에 대해 당신의 말을해야 할 것입니다. 아마도 Heroku는 적어도 Heroku를 신뢰하고 Heroku는 서버에 배포 된 내용을 보증하고 지정된 URL이 해당 서버를 가리킬 수 있습니다. 그러나 나는 그들이 현재 그렇게한다고 생각하지 않는다. – Thilo
클라이언트 쪽 메시지를 서명하고 확인하는 별도의 암호화 도구를 사용하여 이러한 종류의 "트러스트없는 서버"를 요구하는 보안에 민감한 사용자의 특수한 세그먼트는 아마도 너무 성 가실 필요는 없습니다. – Thilo