Ich gehe davon aus, dass die Frage des OP auch dann gültig ist, wenn ich den Anwendungsfall nicht vollständig verstehe. Vielleicht macht sich das OP Sorgen um Firmenbenutzer, die ein Unternehmenskennwortverwaltungswerkzeug verwenden, das es dem Benutzer ermöglichen kann, sich in verschiedenen Anwendungen anzumelden, ohne das Kennwort tatsächlich zu kennen. In diesem Fall können die Entwicklerwerkzeuge dem Angestellten erlauben, etwas ruchloses zu tun, z.B. nimm ein Passwort außerhalb des Unternehmens und gib es einer böswilligen Partei oder nutze es von außerhalb, wo Auditing-Kontrollen möglicherweise nicht vorhanden sind, so etwas.
Leider, selbst wenn Sie die Ansicht des Passworts in der "Inspect Element" -Fenster deaktivieren, konnte der Benutzer immer noch sehen, greifen Sie es durch Eingabe von Code in die Konsole, z. Console.Log(Form.txtPassword)
.
Auch wenn Sie cleveren Code schreiben, um den Kennwortwert im Textfeld zu verschlüsseln und an anderer Stelle zu speichern (z. B. in einer Javascript-Variablen), kann der Benutzer dennoch alle Javascript-Variablen mit der gleichen Art von Code ausgeben.
Jetzt könnten Sie möglicherweise disable the Chrome console wie Facebook tut. Der Benutzer kann das Kennwort jedoch weiterhin im Bereich "Netzwerk" sehen. Ohne die Anwendung auf dem Webserver zu ändern, kann man nicht vermeiden, dass - das Passwort irgendwann an die Website weitergegeben werden muss.
Stattdessen würde ich empfehlen, die Chrome-Entwicklungstools vollständig zu deaktivieren, indem Sie die Richtlinie DeveloperToolsDisabled verwenden, die in der Registrierung über eine Group Policy festgelegt werden kann. Wenn Sie schon dabei sind, sollten Sie wahrscheinlich die Installation von Tools deaktivieren, mit denen Sie den Datenverkehr anzeigen können, z. B. Fiddler.
Welches Problem versuchen Sie zu lösen? Dies ist die Art und Weise, wie ein HTML-Passwort funktioniert und ich bezweifle, dass es einen Weg gibt, dies zu umgehen.Der einzige Weg wäre, jeden Tastenanschlag zu verschlüsseln, aber dann wäre Ihre Verschlüsselungslogik clientseitig und gleichzeitig anfällig. – Filburt
Wem versteckst du das Passwort? Die Person, die es tippt? – Blorgbeard
Ich habe die Funktion Remember me implementiert. Meine Sorge ist, wenn jemand die Website öffnet und wenn dieser Benutzer das Kontrollkästchen "Erinnere mich" aktiviert hat, wird das Passwortfeld bereits ausgefüllt und das Passwort kann vom Developer Tool identifiziert werden. In diesem Szenario wird das Kennwort für diesen Benutzer verfügbar sein. Ich möchte es auch im Developer Tool sichtbar machen, um es gesichert zu halten. –