7

我正在制作一个需要从安全服务器获取 xml 文件的 chrome 扩展。

我目前正在使用 XMLHttpRequest() 来调用服务器

https://username:password@mydomain.com

它返回一个我可以解析和显示的 xml 对象。我希望这个扩展不仅可以用于我的爱好,因此它需要一个选项页面来设置和存储用户名和密码。

我应该如何将用户密码存储在 chrome 中以确保安全?chrome 对每个扩展都有一个 localStorage 全局,允许扩展作者存储数据,但它以纯文本形式存储。它不允许扩展访问“记住我的密码”存储(有充分的理由)。

有没有更安全的方式来进行http auth?我目前的处理方式需要在每次调用函数时在 url 中以纯文本形式传递用户名/密码,即使身份验证会话尚未过期。

4

2 回答 2

11

要求密钥的问题在于,这意味着您每次启动时都必须提示(如果您存储密钥,您会遇到同样的问题)。如果您要保护的内容特别敏感,这可能是一个不错的权衡。

一般来说,Chrome 采用信任操作系统来保护存储这些数据的用户配置文件的理念,因此,如果您使用本地存储来存储密码,这与 Chrome 目前所做的密码自动填充、浏览器历史记录等没有什么不同。

于 2010-01-12T16:53:30.143 回答
3

一个想法:向用户询问一个密钥,您可以使用它来对称加密值,然后再将它们放入 localStorage。您还可以根据他的机器/浏览器/等的某些独特方面为每个客户生成一个唯一的密钥。

于 2009-12-25T08:11:07.823 回答