ユーザーがログインしたときにさまざまなサーバーから適切な情報を取得できるように、ユーザーのプロファイルを保持する必要がある拡張機能を作成しています。
だから私はこの投稿を見つけました:Google Chrome拡張機能でのパスワードの保存。あまり役に立ちません。
ユーザーのログイン パスワードのハッシュ (私の拡張機能に固有) を保存できれば、そのパスワードをキーとして使用してすべての個人情報を暗号化できると思います。私が参照した投稿のコメントで、拡張機能のソース コードを読み取ってハッシュを計算できるというコメントが気になります。
私のアイデアは実現可能ですか?もしそうなら、私は何を使うべきですか?または他の提案?
それは、パスワードの使用目的によって異なります。たとえば、それらが銀行口座である場合、JavaScript を調べてファイルを復号化する方法を見つけ出すことは、悪者の時間を費やす価値があるかもしれません。それは、暗号化されたコンテンツを見るために必要なことです。
内容があまり価値のないものへのパスワードである場合、このようなことができます。
コンテンツが価値がある場合は、javascript を使用してクライアントではなく、サーバーのどこかで暗号化を行う必要があります。これを行うには、ほとんどの場合、それらも保存する必要がありますが、サーバーで暗号化を行い、クライアントにデータを保存することは可能です.
個人情報やパスワードは、コンピュータにアクセスできる人なら誰でも簡単にアクセスできるため、localStorage に保存しないでください。暗号化されていても、ソース コードを調べれば簡単に解読できます (拡張機能のソース コードは誰でも簡単に閲覧できます)。
1 つの解決策は、サーバーに情報を保存し、パスワードの代わりにサード パーティのログイン (Google、Facebook) を使用してユーザーを認証することです。