我應該如何安全地存儲密碼並在chrome擴展程序中使用http auth
[英]How should I securely store passwords and use http auth in a chrome extension
原文
2009-12-25 07:13:51
8
2
javascript/
authentication/
xmlhttprequest/
password-protection/
google-chrome-extension
問題描述
我正在制作Chrome擴展程序,需要從安全服務器獲取xml文件。
我目前正在使用XMLHttpRequest()來調用服務器
https://username:password@mydomain.com
它返回一個我可以解析和顯示的xml對象。 我希望此擴展程序不僅可用於我的愛好,因此需要一個選項頁面來設置和存儲用戶名和密碼。
我應該如何將用戶密碼存儲在chrome中以確保其安全? chrome為每個擴展提供了localStorage全局,允許擴展作者存儲數據,但它以純文本格式存儲。 它不允許擴展程序訪問“記住我的密碼”存儲(有充分的理由)。
是否有更安全的方式來進行http身份驗證? 我目前的做事方式是每次調用函數時都需要在url中以純文本形式傳遞用戶名/密碼,即使驗證會話尚未過期。
2 個解決方案
解決方案1
11 2010-01-12 16:53:30
要求輸入密鑰的問題在於,這意味着每次啟動時都必須提示(如果存儲密鑰,則會出現同樣的問題)。 如果您保護的內容特別敏感,這可能是一個很好的權衡。
一般而言,Chrome采用信任操作系統的理念來保護存儲此數據的用戶配置文件,因此,如果您使用本地存儲來存儲密碼,則與Chrome目前使用密碼自動填充,瀏覽器歷史記錄等所做的操作沒有什么不同。
解決方案2
3 已采納 2009-12-25 08:11:07
一個想法:向用戶詢問一個密鑰,您可以使用該密鑰對這些值進行對稱加密,然后再將它們放入localStorage。 您還可以根據其機器/瀏覽器/等的某些獨特方面為每個客戶生成唯一密鑰。
如何攔截和修改來自Chrome擴展程序的HTTP身份驗證請求?
[英]How do I intercept and modify HTTP Auth requests from a Chrome extension?
使用不同的身份驗證機制時如何安全地存儲密碼
[英]How to store passwords securely when using different authentication mechanisms
如何使用https安全地從客戶端向本地主機上的服務器發送密碼
[英]How to use https to securely send passwords from client to server on localhost
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.