Защита учетных данных внутри DOM кукловода, Headless Chrome

Question

Я разрабатываю сервис, который обеспечивает

1. Скрытый автоматический вход в систему существующего сайта с использованием учетных данных, предоставленных внешним источником
2. Передача браузера для входа пользователю путем включенияон виден

Итак, эта служба обеспечивает вход в браузер мгновенно, когда пользователь хочет.Я думаю об использовании кукловода, и мой вопрос:

• В # 1, может ли кукловод иметь достаточную безопасность для защиты учетных данных (ID / PW) при вводе их через API кукловода?(Не беспокойтесь о шифровании между внешним источником и приложением. Только между приложением и кукловодом, если хакер может отслеживать структуру DOM скрытого сеанса кукловода или нет.)
• В # 2 я могу динамически установить скрытый браузер видимым?

Answer 1

Связь между Node.js и браузером

Связь между средой Node.js и браузером по умолчанию не зашифрована, поскольку она использует незашифрованный протокол Websocket (ws://) вместо зашифрованного (wss://).Если ваш экземпляр кукловода соединяется с одного компьютера на другой, это означает, что люди могут быть в состоянии прослушивать соединение ( дополнительная информация ).

Имейте в виду, что если ваше приложение Node.jsи ваш браузер работает на одной машине, это не имеет значения.Конечно, любой злоумышленник, имеющий доступ к вашему компьютеру и запущенному приложению, может также контролировать память или даже напрямую подключаться к запущенному браузеру через WebSocket.

Динамически отображать или скрывать браузер

Относительно вашей второй части: с помощью API кукловода невозможно изменить состояние браузера с «видимого» на невидимое (или наоборот).Но вы можете использовать API вашей операционной системы для этого или сериализовать состояние браузера и перенести его в другой экземпляр браузера ( дополнительная информация ).