Empecé a jugar con U2F y parece muy prometedor. Conseguí algunas llaves de seguridad y comencé a investigar. Logré crear un sitio web de demostración de registro / inicio de sesión que funciona bien utilizando los tokens U2F y la extensión U2F Chrome.

Sin embargo ... y aquí es donde surge mi pregunta: también he registrado una clave de seguridad para mi cuenta de Google e inmediatamente me llamó la atención el hecho de que funciona sin usar la extensión U2F Chrome. De hecho, hice toda la inscripción e inicio de sesión en Google sin siquiera tener instalada la extensión. ¿Cómo es esto posible? Leí (algunas de) las especificaciones de FIDO y vi que puede haber dos niveles de API: alto, que es el espacio de nombres u2f expuesto por la extensión y bajo, que implica el uso de la API MessagePort. ¿Tal vez así es como lo hace Google? (también intenté hacer un chrome.runtime.connect (...) yo mismo, pero el objeto chrome.runtime no está definido en mi página web)

Cualquier puntero en la dirección correcta sería apreciado y de gran valor en este momento, ya que no hay muchos recursos disponibles en este proyecto joven llamado U2F.