どうすれば安全にパスワードを保存し、Chromeの拡張機能でHTTP認証を使用する必要があります

Question

私は安全なサーバからのXMLファイルを取得する必要がChromeの拡張機能を作っています。

私は現在、サーバー

への呼び出しを行うために）（はXMLHttpRequestを使用しています

https://username:password@mydomain.com

Iは、解析し、表示することができることはXMLオブジェクトを返す

。私は、この拡張機能は、それがセットにオプションページを必要とするので、ちょうど私の趣味の使用よりもために利用できるようにし、ユーザ名とパスワードを保存したい。

どのように私はそれが安全であるようにクロームでユーザーパスワードを保存する必要がありますか？クロムは、データを格納するために拡張の作者を可能にする各拡張機能のグローバルのlocalStorageを持っていますが、それはプレーンテキストで保存されています。それは、拡張子が（正当な理由で）「私のパスワードを覚えておくのストレージにアクセスすることはできません。

やHTTP認証を行うためのより安全な方法は何ですか？物事の私の現在の方法は、認証セッションが期限切れになっていない場合でも、URLにプレーンテキストで関数が呼び出されるたびに、ユーザー名/パスワードを渡す必要があります。

Answer 1

アイデア：あなたは対称のlocalStorageでそれらを置く前に、値を暗号化するために使用することができますキー、ためにユーザに尋ねます。あなたはまた、自分のマシン/ブラウザ/などの特定のユニークな側面に基づいて、クライアントごとに一意のキーを生成することができます。

Answer 2

キーを求めての問題は、それはあなたが（あなたがキーを格納した場合、あなたは同じ問題を抱えている）、起動時に毎回入力を求める必要がありますことを意味していることです。何を保護していることは特に敏感である場合、これはOKのトレードオフもあります。

一般的に、Chromeはブラウザの履歴、あなたが店のパスワードにローカルストレージを使用している場合ので、それはChromeはパスワードの自動入力で今日やっているよりも異なっていない、このデータが格納されている場所、ユーザーのプロフィールを保護するためにOSを信頼の哲学を取ります、など。