Javascript 我的个人密码管理器的安全注意事项

我的安全知识有限，但我可能会学到一些东西。
我计划创建一个ajax应用程序，在该应用程序中，我使用键入的主密码在客户端加密/解密密码 使用javascript AES库，然后向Google App Engine发送/从Google App Engine检索加密数据（用户验证）。
我发现了一个具有相同想法的项目：

---

在我看来，只要我保持本地计算机（键盘记录者）的安全，这应该是相当安全的，还是我遗漏了什么？

这里有一个问题，因为我假设在某个时候，您必须将主密码发送到浏览器客户端？如果你有主密码，那么你可以解密你发送的流

---

使用HTTPS，这正是它的设计目的。

只要您在webapp中使用SSL，这就可以了。如果没有SSL，攻击者可以修改页面以插入一些Javascript，在您键入密码时向他们发送密码

---

不过，您可能需要重新考虑您的威胁模型。你信任服务器吗？如果没有，您不应该相信它不会在您输入主密码时向您发送捕获主密码的页面。如果你这样做了，你就不应该在向服务器发送主密码时感到不安。

你实际上是在信任谷歌应用引擎的员工，以及他们背后的整个信任链，他们不会窃取你的密码。如果你正在执行服务器发送的JavaScript代码，加密客户端并不意味着什么，此外，如果你没有正确地执行HTTPS，那么对一个人进行中间攻击和窃取你的密码在传输时是微不足道的。只需将密码存储在本地，或使用GPG等知名工具加密并上传即可。

您尝试过吗？@Graham Hm，另一个我不知道的网站。。。复制问题是正确的做法吗？这取决于你是否真的得到了令人满意的答案；-）具体地说，您可能需要检查，而这并不是HTTPS的替代品，我将把主密码存储在我的头脑中，然后键入它来解密客户端中的数据。@amoeba-啊，好的，这只针对您，不针对任何其他人。我的误解。没错，我不相信任何人，所以我可以试试这个