Приложение Chrome: обработка конфиденциальных данных

Я хочу написать приложение для Chrome, использующее GitLab API (https://github.com/gitlabhq/gitlabhq/tree/master/doc/api). Для того, чтобы использовать API, пользователю нужен свой личный токен. Токен возвращается после успешного входа через API '/session'.

Существует ли безопасный способ для приложений Chrome хранить конфиденциальные данные, такие как закрытый токен из GitLab? Могу ли я использовать для этого chrome.storage или токен будет храниться в виде открытого текста на компьютере пользователя?


security local-storage google-chrome-app
person Sebastian Sebald    schedule 11.08.2013    source источник
comment
chrome.storage сохранит его в виде открытого текста.   -  person 方 觉    schedule 12.08.2013
comment
Даже если бы он был безопасным (в кавычках, потому что это не так), ключ к шифрованию также хранился бы на компьютере пользователя. Если бы ключ был недоступен, ваше приложение не смогло бы использовать данные. Если пользователям нужна реальная безопасность, они должны использовать шифрование всего диска с надежной парольной фразой и воспользоваться преимуществами безопасности учетной записи на уровне ОС.   -  person sowbug    schedule 12.08.2013
comment
Я согласен с @sowbug. Скорее всего, вам придется реализовать это на серверном компоненте и передавать через него свои запросы.   -  person Alejandro Pedraza    schedule 14.08.2013
comment
Я обсуждаю другую альтернативу ниже.   -  person sowbug    schedule 15.08.2013

Ответы (1)


arrow_upward
2
arrow_downward

Рассмотрите возможность использования WebCrypto API для реализации шифрования токена, а затем сохраните зашифрованный текст в chrome.storage. . Вы попросите пользователя предоставить мастер-пароль для шифрования и расшифровки токенов. При каждом запуске приложения вы будете запрашивать у пользователя мастер-пароль, чтобы не хранить его где-либо.

Скорее всего, вы устанете каждый раз вводить мастер-пароль и добавите возможность хранить пароль рядом с тем, что он разблокирует, в chrome.storage, или выберете короткий и удобный для ввода пароль. . В любом случае удобство использования системы гарантирует, что пароль не будет эффективно использоваться ни для каких целей, кроме театра безопасности.

person sowbug    schedule 15.08.2013