3

我想知道在后台页面的变量中存储一些信息是否会引发安全问题?

网站或其他扩展可以访问这些变量吗?

我目前有一个带有登录系统的扩展(我将密码的哈希存储在 localStorage 中,以便在用户尝试连接到系统时比较哈希)。我正在考虑使用一个模块来扩展它,该模块将密码保存在内存中,直到注销或超时。我不想使用 localStorage 来清楚地存储密码所以我想把它存储在后台页面中,但它可能会更糟......

如果这不安全,您能否给我一个关于如何实现此类模块的提示?

谢谢你。

4

1 回答 1

6

除非您自己实现此功能,否则其他扩展程序和网站无法访问您的后台页面的存储。

在扩展程序的后台页面保存数据与 Chrome 的密码管理器一样安全。
Chrome 在 SQLite 数据库中存储其凭据而不加密profile directory/Default/Login Data

来自chrome.storage、localStorage、HTML5 文件系统、IndexedDB 等的数据保存在 Chrome 的配置文件目录中。任何有权访问您的个人资料目录的人都可以读取数据。打开后台开发工具页面的任何人都可以查看存储的值。

如果配置文件目录是安全的,则无需担心方法的安全性。
否则,您必须在便利性和安全性之间进行权衡。继续向用户询问密码是否可以接受?然后尝试保存会话标识符,并在会话过期时询问凭据。或使用 oAuth。

阅读更多

于 2013-06-25T08:56:00.643 回答