Tôi nên lưu trữ mật khẩu an toàn như thế nào và sử dụng http auth trong tiện ích mở rộng chrome

Question

Tôi đang tạo tiện ích mở rộng chrome yêu cầu tìm nạp tệp xml từ máy chủ bảo mật.

Tôi hiện đang sử dụng XMLHttpRequest() để thực hiện cuộc gọi đến máy chủ

https://username:password@mydomain.com 

mà trả về một đối tượng xml mà tôi có thể phân tích và hiển thị. Tôi muốn phần mở rộng này có sẵn cho nhiều hơn là chỉ sử dụng sở thích của tôi, vì vậy nó cần một trang tùy chọn để thiết lập và lưu trữ tên người dùng và mật khẩu.

Tôi nên lưu trữ mật khẩu người dùng bằng chrome để bảo mật như thế nào? chrome có một localStorage toàn cầu cho mỗi phần mở rộng cho phép các tác giả mở rộng lưu trữ dữ liệu, nhưng nó được lưu trữ trong văn bản thuần túy. nó không cho phép các tiện ích mở rộng truy cập bộ nhớ 'nhớ mật khẩu của tôi' (có lý do chính đáng).

và có cách nào an toàn hơn để thực hiện http auth không? Cách làm hiện tại của tôi yêu cầu chuyển tên người dùng/mật khẩu trong văn bản thuần trong url mỗi lần hàm được gọi, ngay cả khi phiên xác thực chưa hết hạn.

Answer 1

Một ý tưởng: yêu cầu người dùng cho một khóa, mà bạn có thể sử dụng để đối xứng mã hóa các giá trị trước khi đặt chúng trong localStorage. Bạn cũng có thể tạo khóa duy nhất cho mỗi khách hàng dựa trên các khía cạnh nhất định của máy/trình duyệt/v.v.

Answer 2

Vấn đề với yêu cầu một khóa là nó có nghĩa là bạn sẽ phải nhắc nhở mỗi khi khởi động (nếu bạn lưu trữ khóa, bạn có cùng một vấn đề). Đây có thể là một sự cân bằng OK nếu những gì bạn đang bảo vệ đặc biệt nhạy cảm. Nói chung, Chrome có triết lý tin tưởng hệ điều hành để bảo vệ hồ sơ của người dùng nơi lưu trữ dữ liệu này, vì vậy nếu bạn sử dụng bộ nhớ cục bộ để lưu mật khẩu, nó không khác với Chrome đang làm hôm nay với tự động điền mật khẩu lịch sử, v.v.