Wie sichere Passwörter gespeichert werden und http-Auth in einer Chrome-Erweiterung verwenden

Question

Ich mache eine Chrome-Erweiterung, die eine XML-Datei von einem sicheren Server abrufen muss.

Ich bin derzeit XMLHttpRequest() mit einem Aufruf an den Server

https://username:password@mydomain.com 

, die ein XML-Objekt zurück zu machen, die wir analysieren und anzeigen können. Ich möchte, dass diese Erweiterung für mehr als nur meinen Hobbygebrauch verfügbar ist, also benötigt sie eine Optionsseite, um den Benutzernamen und das Passwort festzulegen und zu speichern.

Wie soll ich das Benutzerpasswort in Chrom speichern, damit es sicher ist? chrome hat für jede Erweiterung eine LocalStorage-Eigenschaft, die es Entwicklern von Erweiterungen ermöglicht, Daten zu speichern, sie wird jedoch im Nur-Text-Format gespeichert. Erweiterungen erlauben keinen Zugriff auf den Speicher "Remember my password" (mit guten Gründen).

und gibt es eine sicherere Möglichkeit, HTTP Auth zu tun? Meine derzeitige Vorgehensweise erfordert, dass der Benutzername/das Kennwort bei jedem Aufruf der Funktion in der URL in Klartext übergeben wird, auch wenn die Authentifizierungssitzung noch nicht abgelaufen ist.

Answer 1

Eine Idee: Fragen Sie den Benutzer nach einem Schlüssel, mit dem Sie die Werte symmetrisch verschlüsseln können, bevor Sie sie in localStorage einfügen. Sie könnten auch einen eindeutigen Schlüssel pro Client basierend auf bestimmten einzigartigen Aspekten seines Rechners/Browsers/etc. Generieren.

Answer 2

Das Problem mit der Frage nach einem Schlüssel ist, dass es bedeutet, dass Sie jedes Mal beim Start aufgefordert werden müssen (wenn Sie den Schlüssel speichern, haben Sie das gleiche Problem). Dies kann ein guter Kompromiss sein, wenn das, was Sie schützen, besonders empfindlich ist.

Im Allgemeinen vertraut Chrome auf das Vertrauen des Betriebssystems, um das Profil des Benutzers zu schützen, in dem diese Daten gespeichert sind. Wenn Sie also lokalen Speicher zum Speichern von Kennwörtern verwenden, unterscheidet sich Chrome nicht von dem, was Chrome heute mit Kennwortautofill und Browser macht Geschichte usw.