Ho fatto alcuni test e ho scoperto che un dump di memoria di Chrome non contiene la password di gmail.com/Google dopo l'accesso a quel sito (l'accesso avviene su accounts.google.com).
(Il mio sistema è Windows 10 64bit Professional, Chrome 60).
Posso trovare le password di tutti gli altri siti che ho provato. Anche quando faccio lo stesso in Firefox, la password di gmail.com sarà memorizzata nel dump della memoria. Questo è un comportamento specifico di Chrome.
Ho provato un sacco di cose per impedire che la password venga memorizzata in un dump della memoria. Anche quando ho cancellato la password nel campo della password prima di inviare il modulo, la password originale (senza hash) sarà contenuta nel dump della memoria. Ho provato con autocomplete="off", ho provato a inviare la password attraverso un campo "nascosto" e un campo di testo invisibile. (In modo che il browser non tenti di memorizzare la password nel gestore password incorporato).
Ho anche, ovviamente, provato con la memorizzazione disattivata delle password, cancellato la cache, sperimentato con Cache-Control / Pragma / Expires -headers, e cosa no. E so che il sito Web di Gmail invia effettivamente la password non modificata / originale nella richiesta al server. Quindi non esiste alcun metodo sul lato client per crittografare / hash / offuscare la password.
Quindi la mia domanda è: qualunque cosa usi gmail.com (accounts.google.com) in modo che la password non sia contenuta in un dump della memoria, sarebbe possibile fare lo stesso per il mio sito web? O forse è una funzionalità specifica di gmail.com con hard-coding del browser Chrome?
Potrebbe essere una coincidenza, perché quel sito causa molta attività di lettura / scrittura sulla memoria, così che Garbage Collector pulisce più velocemente, o qualcosa del genere?