Come devo conservare in modo sicuro le password e utilizzare http autenticazione in un'estensione Chrome
https://stackoverflow.com/questions/1960681
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianDomanda
Sto facendo un'estensione Chrome che richiede il recupero di un file XML da un server sicuro.
Attualmente sto usando XMLHttpRequest () per effettuare una chiamata al server
https://username:password@mydomain.com
che restituisce un oggetto XML che posso analizzare e visualizzazione. Voglio che questa estensione sia disponibile per più di solo il mio uso hobbistico, quindi ha bisogno di una pagina di opzioni per impostare e memorizzare il nome utente e la password.
Come devo conservare la password dell'utente in cromo in modo che sia sicuro? Chrome ha un localStorage globale per ogni estensione che permette agli autori di estensione per memorizzare i dati, ma viene memorizzato in formato testo. non permette estensioni per accedere alla memoria 'ricordo la password' (con buone ragioni).
e c'è un modo più sicuro per farlo http autenticazione? Il mio modo attuale di fare le cose è necessario superare il nome utente / password in testo normale nel URL ogni volta che la funzione viene chiamata, anche se la sessione l'autenticazione non è scaduto.
Soluzione
Un'idea: chiedere all'utente per una chiave, che può essere utilizzato per cifrare simmetricamente i valori prima di metterli in localStorage. Si potrebbe anche generare una chiave univoca per cliente sulla base di determinati aspetti unici della sua macchina / browser / etc.
Altri suggerimenti
Il problema di chiedere una chiave è che significa che dovrete richiedere ogni volta all'avvio (se si memorizza la chiave, si ha lo stesso problema). Questo può essere un compromesso OK se quello che si sta proteggendo è particolarmente sensibile.
In generale, Chrome prende la filosofia di fidarsi del sistema operativo per proteggere il profilo dell'utente in cui sono memorizzati questi dati, quindi se si utilizza l'archiviazione locale per memorizzare le password, non è diverso da quello che Chrome sta facendo oggi con password di riempimento automatico, cronologia del browser , ecc.
