我想知道在后台页面的变量中存储一些信息是否会引发安全问题?
网站或其他扩展可以访问这些变量吗?
我目前有一个带有登录系统的扩展(我将密码的哈希存储在 localStorage 中,以便在用户尝试连接到系统时比较哈希)。我正在考虑使用一个模块来扩展它,该模块将密码保存在内存中,直到注销或超时。我不想使用 localStorage 来清楚地存储密码所以我想把它存储在后台页面中,但它可能会更糟......
如果这不安全,您能否给我一个关于如何实现此类模块的提示?
谢谢你。
问问题
2755 次
1 回答
6
除非您自己实现此功能,否则其他扩展程序和网站无法访问您的后台页面的存储。
在扩展程序的后台页面保存数据与 Chrome 的密码管理器一样安全。
Chrome 在 SQLite 数据库中存储其凭据而不加密profile directory/Default/Login Data
来自chrome.storage、localStorage、HTML5 文件系统、IndexedDB 等的数据保存在 Chrome 的配置文件目录中。任何有权访问您的个人资料目录的人都可以读取数据。打开后台开发工具页面的任何人都可以查看存储的值。
如果配置文件目录是安全的,则无需担心方法的安全性。
否则,您必须在便利性和安全性之间进行权衡。继续向用户询问密码是否可以接受?然后尝试保存会话标识符,并在会话过期时询问凭据。或使用 oAuth。
阅读更多
- 教程:Chrome 扩展文档中的 oAuth。
- 密码存储在Security.SE的 Google Chrome 内容脚本中。
- 如何保护我在 Chrome 中保存的密码?在 Security.SE
于 2013-06-25T08:56:00.643 回答