Generación de código QR desde semilla en el navegador: ¿posible problema de seguridad?

4

Necesito implementar 2FA en mi aplicación web. Estoy haciendo esto de manera estándar: la semilla del usuario recién creado se recupera del servidor (yo uso el lenguaje sencillo) y se genera el código QR. La cosa es que es posible robar esta semilla de la memoria del navegador (tal vez no es probable, pero aún así ...) ¿Es esta la forma estándar de hacer esto? ¿Cuál es la mejor práctica para esto?

¡Gracias!

    
pregunta omri perl 25.10.2018 - 15:41
fuente

1 respuesta

1

Gran parte de lo que ocurra en la máquina del usuario estará fuera de su control y dependerá de un sistema sanitario y / o aislamiento del navegador.

Con ese fin, puedes hacer lo mejor para borrar el contenido de la memoria cuando hayas terminado. Tal vez complete una matriz de bytes con ceros, o explícitamente elimine una referencia de propiedad si eres paranoico Aunque este último al menos no obligará al GC a borrar la memoria, y lo hará en su propio momento.

También se reduce al hecho de que si tiene una máquina o un navegador comprometidos de alguna manera que la memoria del navegador se está leyendo desde la pestaña de su sitio, entonces tiene más problemas.

    
respondido por el Dan 25.10.2018 - 16:30
fuente

Lea otras preguntas en las etiquetas