Almacenamiento seguro del navegador

Navega tus respuestas
1

¿Dónde hay un lugar seguro para almacenar un "secreto" en un navegador web al que un usuario tiene acceso y JavaScript no?

El pensamiento estaba en la línea del historial web, marcadores, administrador de contraseñas integrado y amp; caché.

Editar:

Seguro: la cookie HttpOnly como se muestra a continuación es una opción, pero a menos que un usuario use un complemento (firebug), no puede acceder fácilmente a los datos, aunque el acceso es técnicamente posible.

Inseguro: el historial web no parece ser una tienda válida, ya que JavaScript tiene acceso a él.

No estoy seguro: marcador de navegador

Aclaración sobre el caso de uso:

  1. El usuario se registra para una aplicación web (nombre de usuario, contraseña), el servidor solo almacena el nombre de usuario y el amp; clave de cifrado resultante clave codificada.
  2. Usuario redirigido a una página de confirmación, con su clave codificada resultante de la frase de contraseña. (El almacenamiento seguro se aplica aquí).
  3. El usuario inicia sesión con su nombre de usuario, contraseña & Clave de contraseña codificada. Clave de descodificación de la contraseña que se utiliza para el cifrado.

Suposiciones:

  • La contraseña está protegida usando un algoritmo de fortalecimiento de contraseña en una frase de contraseña.
  • El almacenamiento debe ser opcional y su uso debe tener una manera de habilitar / inhabilitar. (Al usar Bookmark, esto podría ser tan simple como hacer clic aquí para marcar la frase de contraseña).
  • No hay registro del lado del servidor en el inicio de sesión & páginas de confirmación. (Se desactivará el almacenamiento en caché)
  • Todas las comunicaciones sobre SSL / TLS
pregunta Null 18.08.2013 - 12:42
fuente

1 respuesta

2

Lo único que se ajusta a sus requisitos es cookies HttpOnly . Normalmente se pueden intercambiar en los encabezados HTTP, el usuario puede acceder fácilmente a ellos (ya sabe, es del lado del cliente), pero todos los principales navegadores exigen que no se pueda acceder a estas cookies con el JavaScript normal que se ejecuta en la página (para ejemplo, document.cookie ).

Una mirada más cercana a tu pregunta muestra que ya entiendes que si hay algo en el navegador, el usuario podrá acceder a y no hay nada que puedas hacer al respecto. En el caso de las cookies HttpOnly, el propio navegador regula el acceso a ellas e impone reglas de seguridad estrictas que impiden que el código JavaScript normal acceda a ellas. Los complementos y complementos tienen un acceso normal no regulado a estas cookies porque se ejecutan en un "nivel de autorización de seguridad" más alto.

    
respondido por el Adi 18.08.2013 - 13:14
fuente

Lea otras preguntas en las etiquetas

¿Una red detrás de un firewall NAT \ modem necesita un firewall? ¿Es más seguro descifrar usar Java + JSF que usar JavaScript?