Как мне безопасно хранить пароли и использовать http auth в расширении chrome

Question

Я делаю расширение для Chrome, которое требует извлечения XML-файла с защищенного сервера.

В настоящее время я использую XMLHttpRequest () для вызова сервера

https://username:password@mydomain.com

, который возвращает объект XML, который я могу анализировать и отображать. Я хочу, чтобы это расширение было доступно не только для моего хобби, поэтому ему нужна страница параметров для установки и сохранения имени пользователя и пароля.

Как сохранить пароль пользователя в Chrome, чтобы он был безопасным? chrome имеет глобальное localStorage для каждого расширения, которое позволяет авторам расширений хранить данные, но они хранятся в виде простого текста. он не позволяет расширениям получать доступ к хранилищу «запомнить мой пароль» (по уважительным причинам).

а есть ли более безопасный способ сделать http аутентификацию? Мой нынешний способ работы требует передачи имени пользователя / пароля в текстовом виде в URL-адресе при каждом вызове функции, даже если сеанс аутентификации не истек.

Answer 1

Проблема с запросом ключа состоит в том, что это означает, что вам придется каждый раз запрашивать при запуске (если вы храните ключ, у вас возникает та же проблема). Это может быть хорошим компромиссом, если то, что вы защищаете, особенно чувствительно.

В целом, Chrome придерживается философии доверия ОС для защиты профиля пользователя, в котором хранятся эти данные, поэтому, если вы используете локальное хранилище для хранения паролей, это ничем не отличается от того, что Chrome делает сегодня с автозаполнением паролей, историей браузера. и т. д.

Answer 2

Идея: попросить пользователя указать ключ, который вы можете использовать для симметричного шифрования значений перед их помещением в localStorage. Вы также можете сгенерировать уникальный ключ для каждого клиента на основе определенных уникальных аспектов его компьютера / браузера / и т. Д.