Generazione di codice QR da seed nel browser: possibile problema di sicurezza?

4

Ho bisogno di implementare 2FA nella mia app web. Lo faccio in modo standard: il seed dell'utente appena creato viene recuperato dal server (io uso speakeasy) e viene generato il codice QR. Il fatto è che è possibile rubare questo seme dalla memoria del browser (forse non è probabile, ma comunque ...) È questo il modo standard per farlo? Qual è la migliore pratica per questo?

Grazie!

    
posta omri perl 25.10.2018 - 15:41
fonte

1 risposta

1

Molto di ciò che accade sulla macchina dell'utente è fuori controllo e dipende da un sistema sanitario e / o dall'isolamento del browser.

A tal fine, puoi fare del tuo meglio per cancellare i contenuti della memoria quando hai finito. Forse riempire un array di byte con zeri o esplicitamente elimina un riferimento di proprietà se sei paranoico Anche se quest'ultimo almeno non forzerà il GC a cancellare la memoria, e lo farà a suo tempo.

Si riduce anche al fatto che se hai una macchina o un browser compromesso in qualche modo che la memoria del browser viene letta dalla scheda del tuo sito, allora hai problemi più grandi.

    
risposta data 25.10.2018 - 16:30
fonte

Leggi altre domande sui tag