Wie soll ich sicher Passwörter speichern und verwenden http auth in einem Chrome-Erweiterung
https://stackoverflow.com/questions/1960681
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianFrage
Ich mache eine Chrome-Erweiterung, die eine XML-Datei von einem sicheren Server erfordert abgerufen werden.
Ich bin derzeit mit XMLHttpRequest () einen Aufruf an den Server
machenhttps://username:password@mydomain.com
, die ein XML-Objekt zurückgibt, dass wir analysieren und anzeigen kann. Ich mag diese Erweiterung für mehr verfügbar sein als nur mein Hobby Gebrauch, so dass es eine Optionsseite Satz benötigt und speichern Sie die Benutzername und das Passwort ein.
Wie lagere ich das Benutzerkennwort in Chrom, so dass es sicher ist? Chrom hat ein globalen local für jede Erweiterung, die Erweiterung Autoren zum Speichern von Daten erlaubt, aber es wird im Klartext gespeichert. es keine Erweiterungen für den Zugriff erlauben, die ‚Passwort speichern‘ Speicher (mit gutem Grund).
und gibt es eine sicherere Art und Weise http Auth zu tun? Meine heutige Art und Weise, Dinge zu tun erfordert das Bestehen der Benutzername / Passwort im Klartext in der URL jedes Mal die Funktion aufgerufen wird, auch wenn die die Authentifizierungssitzung ist abgelaufen nicht.
Lösung
Eine Idee: fragt den Benutzer nach einem Schlüssel, der symmetrisch verwenden kann, um die Werte zu verschlüsseln, bevor sie in localstorage setzen. Sie könnten auch einen eindeutigen Schlüssel pro Client basierend auf bestimmten einzigartigen Aspekte seiner Maschine / Browser / etc erzeugen.
Andere Tipps
Das Problem für einen Schlüssel mit zu fragen ist, dass es bedeutet, dass Sie jedes Mal beim Start aufgefordert werden müssen (wenn Sie den Schlüssel speichern, Sie haben das gleiche Problem). Dies kann ein OK Kompromiss sein, wenn, was Sie zum Schutz besonders empfindlich ist.
Generell Chrome die Philosophie Vertrauen auf die OS nimmt das Profil des Benutzers zu schützen, wo diese Daten gespeichert werden, so dass, wenn Sie lokalen Speicher zum Speichern von Passwörtern verwenden, ist es nicht anders als das, was Chrome heute tut mit Passwort autofill, Browser-History etc.
