Dove è un luogo sicuro dove archiviare un "segreto" in un browser Web a cui un utente ha accesso e JavaScript no?
Il pensiero era sulla falsariga della cronologia web, i segnalibri, incorporati in Gestione password & cache.
Modifica
Sicuro: HttpSolo Cookie come sotto è un'opzione, ma a meno che un utente non usi un addon (firebug), non può accedere facilmente ai dati sebbene l'accesso sia tecnicamente possibile.
Non sicuro: la cronologia web non sembra essere un archivio valido in quanto JavaScript può accedervi.
Non sicuro: segnalibro del browser
Chiarificazione sul caso d'uso:
- Registri utente per un'app Web (nome utente, password), il server memorizza solo nome utente & chiave codificata passphrase risultante.
- Utente reindirizzato a una pagina di conferma, con la chiave codificata passphrase risultante. (Lo stoccaggio sicuro si applica qui.)
- L'utente accede con il proprio nome utente, password e amp; Chiave codificata passphrase. La chiave di decodifica della password utilizzata per la crittografia.
Ipotesi:
- La password è hardended utilizzando un algoritmo di rafforzamento della password in una passphrase.
- Lo spazio di archiviazione dovrebbe essere facoltativo e l'uso dovrebbe avere un modo per attivare / disattivare. (Usando Bookmark, questo potrebbe essere semplice come fare clic qui per contrassegnare la passphrase.)
- Nessuna registrazione lato server sul login & pagine di conferma. (La memorizzazione nella cache sarà disabilitata)
- Tutte le comunicazioni su SSL / TLS