データベースにユーザーパスワードを暗号化して保存します。これはすべてjavascriptで行い、後で解読します。すべてのパスワードを暗号化/復号化するために鍵を使用したいと思います。私はそれらをsqliteデータベースに格納することを考えていました。パスワードでjavascriptの暗号化を暗号化し、元のパスワードをできるだけ安全に取得します。
盗難の際にデータベースが安全になると思いますか?私はそれがアルゴリズムと実装に大きく依存すると思います。
私はこの機能を持つライブラリに正しい方向に向けることができますが、暗号化/復号化できますか?
私はsqlite dbを扱うライブラリをお勧めしますか? javscriptで?
私は通常、パスを解読しないでいくつかのWebスクリプト言語でこれをすべて行いますが、私はこれをjsで行う必要があります。私はかなり新しい言語です。だから、どんなアドバイスも感謝します。
ありがとうございます!
JavaScriptコード自体がセキュリティ保護されていない接続からロードされたため、クライアント側のコードを使用して接続を保護するべきではないため、改ざんされる可能性があります。
スクリプトを読み込んで、すべての機密通信をhttps経由で行うだけで問題ありません。
この場合、Firefox側のアドオンであるため、クライアント側からjavascriptコードをクライアント側から読み込んでいます。アドオンはあらかじめ定義された選択肢を持つフォームを自動完成させ、dbからパスを取得したいと思います。 – eter
@eter:Firefoxにはすでにパスワード管理が含まれていませんか?代わりにそれを活用することはできませんか? – hugomg
あなたはそうです、それはあります。私のアドオンがボタンをクリックし、一連のサイトを連続して開いてログインするようにしたいということです。 Firefoxは、これらのフィールドを自動入力するだけです。いずれにせよ、私はそれを使用すると新しいものを実装するよりも安全だと思います。しかし、firefoxを攻撃するいくつかの管理を想像してみてください。合格管理データベースを探すのは理に適っておらず、もっと知られていないアドオンではなく盗みます。わかりました、私はあまり知られていないセキュリティを知っています... – eter
何かを暗号化/復号化する場合は、サーバー上で行う必要があります。
ハッカーは、ハッシュアルゴリズムを把握するためにJSのソースコードを表示し、パケットスニッファなどのソフトウェアを使用していると仮定して、そのアルゴリズムをユーザーが送信したデータと比較します。
達成したいことは、HTTPSを使用してサーバーに接続し、パスワードを送信してxmlhttprequest経由でサーバーとの間で認証通知を受け取ることができます。
おそらく上記の理由により、クライアント上のすべての処理を行うためのアルゴリズムがわかりません。しかし、多くのPHPハッシュアルゴリズムがあります。このサイトは有用であり得る:http://phpsec.org/
編集:(OP上のコメントを読む)Firefoxはすでにこの機能を提供しませんか?いずれにしても、ローカルマシンで行われたパスワードの保存は、ローカルマシンに保存することができます。ページが再訪されると、関連するパスワードフィールドを自動入力することができます。唯一のセキュリティ上の脅威は、ホストコンピュータが侵害された場合です。私はこのためのコードサンプルを知らない。
クライアント側で暗号化/復号化を実行しますか?これは非常に危険です。とにかく解読が必要なのはなぜですか?通常、ハッシュを計算してハッシュを比較するだけで、この計算はサーバー側で行われなければなりません。 – phlogratos
はい、私はこれがサーバー側で起こるはずであることを知っています。そのため、私は通常、いくつかのWebスクリプト言語でこれを行うと言いました。私がしたいのは、サイトにパスワードを保存し、ボタンをクリックするだけで、それらのサイトに自動的にログオンできるfirefoxアドオンです。それを行うために、私はそれらを何とかローカルに保存する必要があります。これを行うより良い方法があれば私に教えてください! – eter
なぜ車輪を改造するのですか? Firefoyはすでにウェブ側のパスワードを覚えておく方法を知っています。 – phlogratos