7

安全なサーバーから xml ファイルを取得する必要がある chrome 拡張機能を作成しています。

私は現在 XMLHttpRequest() を使用してサーバーを呼び出しています

https://username:password@mydomain.com

これは、解析して表示できる xml オブジェクトを返します。この拡張機能を趣味以外にも利用できるようにしたいので、ユーザー名とパスワードを設定して保存するためのオプション ページが必要です。

ユーザーパスワードを安全に保つために、どのようにクロムに保存すればよいですか? chrome には、拡張機能の作成者がデータを保存できる拡張機能ごとの localStorage グローバルがありますが、データはプレーン テキストで保存されます。拡張機能が「パスワードを記憶する」ストレージにアクセスすることを許可しません (正当な理由があります)。

http認証を行うためのより安全な方法はありますか? 私の現在のやり方では、認証セッションの有効期限が切れていなくても、関数が呼び出されるたびに、URL にプレーン テキストでユーザー名/パスワードを渡す必要があります。

4

2 に答える 2

11

キーを要求することの問題点は、起動時に毎回プロンプトを表示する必要があることです (キーを保存すると、同じ問題が発生します)。保護対象が特に機密性の高いものである場合、これは問題ないトレードオフになる可能性があります。

一般に、Chrome は、このデータが保存されているユーザーのプロファイルを保護するために OS を信頼するという哲学を採用しているため、ローカル ストレージを使用してパスワードを保存する場合、パスワードの自動入力、ブラウザの履歴などで現在 Chrome が行っていることと何ら変わりはありません。

于 2010-01-12T16:53:30.143 に答える
3

アイデア: ユーザーにキーを要求します。これを使用して、値を localStorage に入れる前に対称的に暗号化できます。クライアントのマシン/ブラウザ/などの特定の固有の側面に基づいて、クライアントごとに固有のキーを生成することもできます。

于 2009-12-25T08:11:07.823 に答える