Security 如何在无法访问互联网的情况下保护chrome扩展中的密码?
我正在制作一个chrome扩展,它监听webRequest.onAuthRequired。此扩展的目标是避免必须填写这些代理身份验证弹出窗口,因为它们很麻烦,并且在切换网络时总是出现。目前,我开发扩展时没有将任何内容保存到本地存储。密码和登录名存储在background.js变量中,因此用户必须在每次打开浏览器时键入其凭据 第一:有没有办法阻止某人访问源代码?同事a可以启用开发人员选项,在代码中设置断点并查看同事B的密码 第二:如何在没有internet连接的情况下安全地存储密码(在您提供凭据之前,代理将阻止任何请求)。充其量,我希望这个扩展能够正常工作,而用户每次打开浏览器时都不必输入凭据 难道没有一种方法可以像chrome那样使用window的身份验证来存储密码吗?Windows凭据与代理所需的凭据相同 Keepass对此有何看法Security 如何在无法访问互联网的情况下保护chrome扩展中的密码?,security,google-chrome-extension,Security,Google Chrome Extension,我正在制作一个chrome扩展,它监听webRequest.onAuthRequired。此扩展的目标是避免必须填写这些代理身份验证弹出窗口,因为它们很麻烦,并且在切换网络时总是出现。目前,我开发扩展时没有将任何内容保存到本地存储。密码和登录名存储在background.js变量中,因此用户必须在每次打开浏览器时键入其凭据 第一:有没有办法阻止某人访问源代码?同事a可以启用开发人员选项,在代码中设置断点并查看同事B的密码 第二:如何在没有internet连接的情况下安全地存储密码(在您提供凭据之
提前感谢Keepass允许用户通过主密码安全锁定/解锁密码。即使使用Keepass,如果用户离开时没有锁定密码安全(也没有锁定桌面),物理攻击者也可以轻松读取未锁定的密码。如果您想像Keepass一样执行此操作,可以在扩展中包括AES密码和KDF实现,将主密码转换为AES密钥,从而临时解密代理身份验证密码。不过,这仍然很容易受到攻击,因为代理密码必须在某个时刻保留在内存中,以避免用户重新验证。也就是说,我认为您关于Chrome扩展中传递Windows凭据的能力的问题很有趣。好的,谢谢。所以我的最后一个选择是让windows身份验证来完成这项工作?如果windows能够在触发AuthRequested事件时自动填充用户的凭据,则会起作用。如果其他同事能够访问计算机(这真的不是什么大问题),他们可以绕过代理身份验证,但他们无法看到真实用户的凭据。