Come archiviare in modo sicuro le password e utilizzare l'autenticazione http in un'estensione chrome

Question

Sto creando un'estensione chrome che richiede il recupero di un file xml da un server sicuro.

Attualmente sto usando XMLHttpRequest() per effettuare una chiamata al server

https://username:password@mydomain.com 

che restituisce un oggetto XML che posso analizzare e visualizzazione. Voglio che questa estensione sia disponibile per qualcosa di più del mio solo hobby, quindi ha bisogno di una pagina di opzioni per impostare e memorizzare nome utente e password.

Come dovrei memorizzare la password utente in chrome in modo che sia sicura? chrome ha un localStorage globale per ogni estensione che consente agli autori di estensioni di memorizzare dati, ma è memorizzato in testo normale. non consente alle estensioni di accedere alla memoria "ricorda la mia password" (con buone ragioni).

e c'è un modo più sicuro per fare l'autenticazione http? Il mio attuale modo di fare le cose richiede il passaggio del nome utente/password in testo normale nell'URL ogni volta che viene chiamata la funzione, anche se la sessione di autenticazione non è scaduta.

Answer 1

Un'idea: chiedere all'utente una chiave, che è possibile utilizzare per crittografare simmetricamente i valori prima di inserirli in localStorage. Potresti anche generare una chiave univoca per client basata su alcuni aspetti unici della sua macchina/browser/ecc.

Answer 2

Il problema con la richiesta di una chiave è che significa che è necessario richiedere ogni volta all'avvio (se si memorizza la chiave, si ha lo stesso problema). Questo può essere un compromesso OK se ciò che stai proteggendo è particolarmente sensibile.

In generale, Chrome ha la filosofia di affidarsi al sistema operativo per proteggere il profilo dell'utente in cui sono archiviati questi dati, quindi se si utilizza la memoria locale per archiviare le password, non è diverso da quello che Chrome sta facendo oggi con la compilazione automatica delle password, browser storia, ecc.