[JS] Zašifrování a dešifrování dat

Webdesign, HTML, CSS, Flash, PHP, ASP, .NET, JavaScript. Kritika www stránek na Smetišti.

Moderátor: Moderátoři Živě.cz

Odeslat příspěvekod PiranhaGreg 21. 5. 2013 12:29

Zdravím, vytvářím rozšíření pro Chrome a chci využít StorageArea pro uložení uživatelského jména a hesla. Samotný Google varuje, že tento prostor ani spojení k němu není šifrované. Tak jsem si říkal že bych to heslo mohl nějak zašifrovat (hash v mém případě použít nemůžu), jenže když si může obsah scriptu kdokoliv zobrazit, tak by si mohl rovnou najít i funkci, kde to zase dešifruju. Co byste poradili?

Přemýšlel jsem že bych využil defaultní funkci prohlížeče pro ukládání vyplněných údajů formuláře, ale ta se mi moc nehodí, potřebuju ty hesla i měnit...

Přímo o zabezpečení toho rozšíření až tak nejde. Spíš že si uživatelé nastavují všude stejný heslo a kdo ví kde všude jinde by ho používali.
PiranhaGreg
Mírně pokročilý
Uživatelský avatar

Odeslat příspěvekod Vebloud 21. 5. 2013 14:26

Musíš něják vyřešit šifrovací klíč. A asi jedině ho mít na serveru a předávat si ho přes https, protože jinak to bude security by obscurity.
Žít a nechat žít, ty máš svůj názor, já mám svůj názor, já ti nebudu nutit svůj, nemusím souhlasit s tvým, ale udělám vše, abys ho mohl svobodně vyjádřit.
Vebloud
VIP uživatel
Uživatelský avatar

Odeslat příspěvekod JirkaVejrazka 21. 5. 2013 14:56

Tohle bezpecne udelat proste nejde. Tvoje nejlepsi moznost je pouzit vestavene uloziste hesel (v browseru), pokud k nemu existuje rozumne API.

Zkus popsat trochu podrobneji, proc potrebujec ulozit ciste heslo (a uzivatelske jmeno) - treba to ma jeste jine reseni nez to, ktere planujes.
JirkaVejrazka
Mírně pokročilý

Odeslat příspěvekod PiranhaGreg 21. 5. 2013 17:04

Dělám JS nádstavbu jednoho hodně starýho a rozpadajícího se informačního systému. Způsobem že starej web úplně smažu a novej vygeneruju + info tahám přes ajax požadavky nebo případně z iframe. No a chci tam mít různý "vychytávky" jako automatické přihlašování, změna hesla a podobně (formulář na změnu hesla tam je i původní, ale opět by to chtělo trochu zmodernizovat). A protože Chrome nabízí synchronizaci všeho možnýho, chtěl bych synchronizovat i uživ. nastavení + to přihlašovací jméno a heslo. Kdyby měl třeba někdo 2 PC a podobně...

Jako první mě samozřejmě napadlo použít to vestavěné úložiště hesel, jenže s tím se nedá skoro nic a byla by to akorát tuna práce navíc. Tak jsem to chtěl dát do toho, kam dávám i další nastavení, ale zjistil jsem že není šifrovaný.
PiranhaGreg
Mírně pokročilý
Uživatelský avatar

Odeslat příspěvekod JirkaVejrazka 22. 5. 2013 20:52

Tohle se ve vsech aplikacich, kde neni potreba maximalni bezpecnost resi ukladanim session ID do cookie. Uzivatel se jednou prihlasi jmenem a heslem a nasledne se vygeneruje session ID, ktere se ulozi jak u klienta, tak na serveru.

Kdyz mas moznost menit ten stary system tak, ze umi posilat Ajax apod., mas taky sanci pouzit jeho session management? Jiste tam nejaky byl.
JirkaVejrazka
Mírně pokročilý


Kdo je online

Uživatelé procházející toto fórum: Žádní registrovaní uživatelé a 0 návštevníků