¿Cómo debo almacenar de forma segura las contraseñas y el uso de autenticación HTTP en una extensión de Chrome
https://stackoverflow.com/questions/1960681
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPregunta
Estoy haciendo una extensión de Chrome que requiere ir a buscar un archivo XML desde un servidor seguro.
Actualmente estoy usando XMLHttpRequest () para realizar una llamada al servidor
https://username:password@mydomain.com
que devuelve un objeto XML que puede analizar y la pantalla. Quiero que esta extensión esté disponible para algo más que mi uso manía, por lo que necesita una página de opciones para configurar y almacenar el nombre de usuario y contraseña.
¿Cómo debo guardar la contraseña de usuario en cromo por lo que es seguro? Chrome tiene una localStorage global para cada extensión que permite a los autores de extensión para almacenar datos, sino que se almacena en texto sin formato. que no permite extensiones para acceder al almacenamiento 'recordar mi contraseña' (con buenas razones).
y hay una manera más segura de hacer autenticación HTTP? Mi actual forma de hacer las cosas requiere pasar el nombre de usuario / contraseña en texto plano en el URL cada vez que la función se llama, incluso si la sesión de la autenticación no ha expirado.
Solución
Una idea: pedir al usuario de una clave, que puede utilizar para cifrar simétricamente los valores antes de ponerlos en localStorage. También se podría generar una clave única por cliente en base a ciertos aspectos únicos de su máquina / navegador / etc.
Otros consejos
El problema con la petición de una clave es que significa que tendrá que pedirá cada vez que en el arranque (si almacena la clave, usted tiene el mismo problema). Esto puede ser una desventaja bien si lo que se está protegiendo es especialmente sensible.
En general, Chrome tiene la filosofía de confiar en el sistema operativo para proteger el perfil del usuario, donde se almacena estos datos, por lo que si se utiliza el almacenamiento local para almacenar contraseñas, no es diferente de lo que Chrome está haciendo hoy con relleno automático de contraseñas, historial del navegador , etc.
