我应该如何安全地存储密码和Chrome扩展程序,使用HTTP认证
https://stackoverflow.com/questions/1960681
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russian题
我正在要求来自一个安全的服务器获取的XML文件铬扩展名。
我目前使用的XMLHttpRequest(),以使所述服务器的呼叫
https://username:password@mydomain.com
返回的XML对象我可以分析和显示。我想这个扩展可用的不仅仅是我的爱好使用比较多,所以它需要一个选项页面设置并存储用户名和密码。
我应该如何存储用户密码,铬,以便它是安全的?铬具有全球每一个扩展,允许扩展的作者存储数据的本地存储,但它采用明文存储。它不允许扩展访问“忘记了密码的存储(很好的理由)。
和在那里做HTTP认证更安全的方式?我现在做事的方式,需要在纯文本每个函数被调用时传递的用户名/密码的URL,即使认证会话尚未过期。
解决方案
一个想法:让用户一键,你可以用它把它们放在面前的localStorage对称加密值。你也可以基于他的机器/浏览器/等的某些独特方面每个客户端唯一的密钥。
其他提示
与要求的一个关键的问题是,它意味着你必须每次在启动时提示(如果您存储密钥,你有同样的问题)。如果你要保护是特别敏感的,这可能是一个好折衷。
在一般情况下,浏览器需要信任操作系统,以保护那里该数据被存储在用户的个人资料的理念,因此,如果您使用本地存储来存储密码,这也比Chrome浏览器现在正在做与密码自动填充,浏览器历史记录不同等
不隶属于 StackOverflow
