Comment dois-je stocker les mots de passe en toute sécurité et utiliser http auth dans une extension chrome
https://stackoverflow.com/questions/1960681
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianQuestion
Je fais une extension de chrome qui nécessite l'extraction d'un fichier XML à partir d'un serveur sécurisé.
Je suis actuellement à l'aide XMLHttpRequest () pour faire un appel au serveur
https://username:password@mydomain.com
qui retourne un objet xml que je peux analyser et afficher. Je veux que cette extension soit disponible pour plus que mon utilisation passe-temps, il a besoin d'une page d'options pour définir et stocker le nom d'utilisateur et mot de passe.
Comment dois-je stocker le mot de passe de l'utilisateur en chrome pour qu'il soit sécurisé? chrome a une localStorage globale pour chaque extension qui permet aux auteurs d'extension pour stocker des données, mais il est stocké dans le texte brut. il ne permet pas d'accéder à des extensions de stockage « souvenir de mon mot de passe » (avec de bonnes raisons).
et est-il un moyen de faire http auth plus sûr? Ma façon actuelle de faire les choses nécessite passer le nom d'utilisateur / mot de passe en clair dans l'URL à chaque fois que la fonction est appelée, même si la session d'authentification n'a pas expiré.
La solution
Une idée: demander à l'utilisateur une clé, que vous pouvez utiliser pour chiffrer de manière symétrique les valeurs avant de les mettre en localStorage. Vous pouvez également générer une clé unique par client en fonction de certains aspects particuliers de sa machine / navigateur / etc.
Autres conseils
Le problème demandant une clé est que cela signifie que vous devrez demander à chaque fois au démarrage (si vous stockez la clé, vous avez le même problème). Cela peut être un compromis entre OK si ce que vous protégez est particulièrement sensible.
En général, Chrome prend la philosophie de faire confiance à l'OS pour protéger le profil de l'utilisateur où ces données sont stockées, donc si vous utilisez le stockage local pour stocker les mots de passe, il est pas différent de ce que Chrome fait aujourd'hui avec le mot de passe autofill, l'historique du navigateur , etc.
