随着比特币、区块链为更多人熟知，公钥、密钥也成为被广泛谈论的关键词，如何让加密技术走进互联网用户的日常......这便是Keybase应运而生的前因。它希望使加密变得更简单，进而鼓励大众使用。

什么是Keybase？

Keybase是一个开放的公钥库，通过社交媒体验证信息。公钥加上私钥，可以有效加密任何信息。在其自我描述中，大写加粗的功能就是安全的端对端加密。

正如其创始人Max Krohn在博客中所写的那样，

Keybase旨在保护终端用户免受加密过于复杂的烦恼，同时让密码更简洁，容易审计和流通。Keybase是开源的，数据库也是，其透明度、安全性都可以达到你的期望，其中包括能保持诚信度的故障奖励制度。其迷人之处在于用户很高的信任度。Keybase使加密变简单化，进一步鼓励大众尝试。为世界上的每个人提供公钥，甚至是不了解它的人。这亦反映了 Keybase的愿景，加密属于每个人，而不仅仅是硬核程序员。

简单地讲，Keybase提供了一套PGP加密、解密、签名、验证签名的工具，验证各个社交网络帐号，包括Twitter、Facebook、Github、Instagram、Reddit以及比特币钱包地址、域名所有权等信息，以证明你的身份。

最常见的一个场景，就是线人给记者爆料。记者可以建立Keybase帐号并分享公钥。通过这种方式，线人可以了解自己与谁分享了信息。反之亦然。Keybase通过一种信任模式，寻求网络的非人性化特征。Keybase联合创始人Jeremy Stribling解释道，

如果你在报道结尾放上一个Keybase链接，任何人可以搜索到你的个人资料，通过社交媒体账户来验证信息。

该应用程序同时适用于桌面和移动平台。但是桌面用户可以获得一个移动用户不具备的奖励功能：即安装Keybase浏览器扩展。该浏览器扩展将在Facebook、Twitter、GitHub、Reddit或Hacker News上为人们的个人资料添加“Keybase Chat”按钮。单击该按钮就可以打开一个聊天窗口，允许用户直接在浏览器中输入消息。只有在发送初始消息后，对话才会转移到Keybase应用程序。

如此看来，Keybase的功能确实很强大且实用，但是事实真的如宣传所言吗？近日，安全研究人员发现，Keybase应用程序浏览器扩展并没有实现它对用户做出的端对端加密承诺。相反地，该扩展会将用户界面（按钮和聊天窗口）注入第三方网站。

谁发现了这个安全漏洞？

据悉，该漏洞是由流行扩展程序AdBlockPlus（Firefox、Chrome、Safari、Android和 iOS上最受欢迎的广告拦截程序）的开发者Wladimir Palant发现的，当时，他注意到由此扩展发送的消息会暴露给第三方JavaScript代码。

根据官方介绍显示，该扩展程序在Facebook、Twitter、Reddit和GitHub的社交档案中添加了“Keybase聊天”（Keybase Chat）按钮。用户可以单击该按钮，打开一个聊天窗口，并在其中键入他们的消息文本。

当用户撰写消息文本并“发送”时，该扩展程序会将其传输到Keybase的本地副本，该副本会对消息进行加密并通过Keybase Chat发送。在此建议用户可以通过常见问题解答（FAQ）部分，以便更好的了解Keybase Chrome和Firefox扩展程序。

问题出在哪里？

问题在于，这些消息在达到桌面应用程序前实际上并没有加密，这就允许第三方JavaScript读取这些消息的内容；甚至当用户在KeyBase中输入消息时，另一个扩展中的JavaScript代码实际上也可以读取消息。

安全研究人员Palant 解释称，

如此一来，也就意味着您在Facebook上输入的Keybase消息绝不是私密的；而且Facebook的JavaScript代码可以在您输入消息时就把它读取出来。这与Keybase在其Mozilla附加组件和Chrome Web Store安装页面上的承诺完全相反。

Keybase对此作何回应？

根据Keybase的说法，“这一切都在安装页面上清楚的描述并且是已知的。”事实上，在靠近该页面的底部，您会发现以下内容：

如果您的浏览器受损了该怎么办？Keybase扩展程序使用浏览器中的撰写框。如果您担心您的浏览器或社交网站的JavaScript已被泄露，例如通过另一个扩展程序甚至形迹可疑的社交网络，那么只需直接在Keybase应用程序中撰写消息即可。

缓解措施

对于上述问题，Palant 建议称，对于正在使用该应用程序来传递敏感数据的用户而言，应该及时卸载Keybase浏览器扩展并选择其他加密平台。或者通过隔离<iFrame>元素中的所有扩展用户界面来避免该问题。