Archiviazione sicura del browser

1

Dove è un luogo sicuro dove archiviare un "segreto" in un browser Web a cui un utente ha accesso e JavaScript no?

Il pensiero era sulla falsariga della cronologia web, i segnalibri, incorporati in Gestione password & cache.

Modifica

Sicuro: HttpSolo Cookie come sotto è un'opzione, ma a meno che un utente non usi un addon (firebug), non può accedere facilmente ai dati sebbene l'accesso sia tecnicamente possibile.

Non sicuro: la cronologia web non sembra essere un archivio valido in quanto JavaScript può accedervi.

Non sicuro: segnalibro del browser

Chiarificazione sul caso d'uso:

  1. Registri utente per un'app Web (nome utente, password), il server memorizza solo nome utente & chiave codificata passphrase risultante.
  2. Utente reindirizzato a una pagina di conferma, con la chiave codificata passphrase risultante. (Lo stoccaggio sicuro si applica qui.)
  3. L'utente accede con il proprio nome utente, password e amp; Chiave codificata passphrase. La chiave di decodifica della password utilizzata per la crittografia.

Ipotesi:

  • La password è hardended utilizzando un algoritmo di rafforzamento della password in una passphrase.
  • Lo spazio di archiviazione dovrebbe essere facoltativo e l'uso dovrebbe avere un modo per attivare / disattivare. (Usando Bookmark, questo potrebbe essere semplice come fare clic qui per contrassegnare la passphrase.)
  • Nessuna registrazione lato server sul login & pagine di conferma. (La memorizzazione nella cache sarà disabilitata)
  • Tutte le comunicazioni su SSL / TLS
posta Null 18.08.2013 - 12:42
fonte

1 risposta

2

L'unica cosa che soddisfa i tuoi requisiti è HttpSolo cookie . Possono essere scambiati normalmente nelle intestazioni HTTP, possono essere facilmente accessibili dall'utente (lo sai, essendo client-side), ma viene imposto da tutti i principali browser che questi cookie non sono accessibili tramite il normale JavaScript in esecuzione nella pagina (per esempio, document.cookie ).

Uno sguardo più ravvicinato alla tua domanda mostra che hai già capito che se qualcosa è nel browser, sarà accessibile all'utente e non c'è nulla che tu possa fare al riguardo. Nel caso dei cookie HttpOnly, il browser stesso regola l'accesso ad essi e impone severe regole di sicurezza che impediscono al normale codice JavaScript di accedervi. I componenti aggiuntivi e i plug-in hanno un normale accesso non regolamentato a questi cookie perché vengono eseguiti su un "livello di sicurezza" più elevato.

    
risposta data 18.08.2013 - 13:14
fonte

Leggi altre domande sui tag