Ho bisogno di implementare 2FA nella mia app web. Lo faccio in modo standard: il seed dell'utente appena creato viene recuperato dal server (io uso speakeasy) e viene generato il codice QR. Il fatto è che è possibile rubare questo seme dalla memoria del browser (forse non è probabile, ma comunque ...) È questo il modo standard per farlo? Qual è la migliore pratica per questo?
Grazie!
Molto di ciò che accade sulla macchina dell'utente è fuori controllo e dipende da un sistema sanitario e / o dall'isolamento del browser.
A tal fine, puoi fare del tuo meglio per cancellare i contenuti della memoria quando hai finito. Forse riempire un array di byte con zeri o esplicitamente elimina un riferimento di proprietà se sei paranoico Anche se quest'ultimo almeno non forzerà il GC a cancellare la memoria, e lo farà a suo tempo.
Si riduce anche al fatto che se hai una macchina o un browser compromesso in qualche modo che la memoria del browser viene letta dalla scheda del tuo sito, allora hai problemi più grandi.
Leggi altre domande sui tag authentication encryption multi-factor qr-code