秘密鍵を直接入力できるクライアントだと localStorage に保存するしかないので XSS があると流出してしまう

NIP-07 は鍵そのものが流出しないだけマシではある

これは今でも有効なので見つけてみてね View quoted note →

メモリに全部保持するから流石に年単位で遡れるかは PC スペックに依存しそうだけど

遡るというのが何を指しているか分からないけど nostter はホーム TL を無限に遡れるようにしている

けど気付いたきっかけがパブリックだと割とどうしようもない

まあ脆弱性の報告はプライベートなメッセージでやろうねという話もある

少人数で遊んでるうちはいいけど、大勢に使ってもらうならセキュリティちゃんとしないといけない（被害を被るのはユーザーなので）というのは当たり前の話ではある

XSS はクライアント側での防御が基本 innerHTML ではなく textContent を使いましょう

病む前に早く転職しな