Stránka 1 z 1

[JS] Zašifrování a dešifrování dat

Odeslat příspěvekNapsal: 21. 5. 2013 12:29
od PiranhaGreg
Zdravím, vytvářím rozšíření pro Chrome a chci využít StorageArea pro uložení uživatelského jména a hesla. Samotný Google varuje, že tento prostor ani spojení k němu není šifrované. Tak jsem si říkal že bych to heslo mohl nějak zašifrovat (hash v mém případě použít nemůžu), jenže když si může obsah scriptu kdokoliv zobrazit, tak by si mohl rovnou najít i funkci, kde to zase dešifruju. Co byste poradili?

Přemýšlel jsem že bych využil defaultní funkci prohlížeče pro ukládání vyplněných údajů formuláře, ale ta se mi moc nehodí, potřebuju ty hesla i měnit...

Přímo o zabezpečení toho rozšíření až tak nejde. Spíš že si uživatelé nastavují všude stejný heslo a kdo ví kde všude jinde by ho používali.

Re: [JS] Zašifrování a dešifrování dat

Odeslat příspěvekNapsal: 21. 5. 2013 14:26
od Vebloud
Musíš něják vyřešit šifrovací klíč. A asi jedině ho mít na serveru a předávat si ho přes https, protože jinak to bude security by obscurity.

Re: [JS] Zašifrování a dešifrování dat

Odeslat příspěvekNapsal: 21. 5. 2013 14:56
od JirkaVejrazka
Tohle bezpecne udelat proste nejde. Tvoje nejlepsi moznost je pouzit vestavene uloziste hesel (v browseru), pokud k nemu existuje rozumne API.

Zkus popsat trochu podrobneji, proc potrebujec ulozit ciste heslo (a uzivatelske jmeno) - treba to ma jeste jine reseni nez to, ktere planujes.

Re: [JS] Zašifrování a dešifrování dat

Odeslat příspěvekNapsal: 21. 5. 2013 17:04
od PiranhaGreg
Dělám JS nádstavbu jednoho hodně starýho a rozpadajícího se informačního systému. Způsobem že starej web úplně smažu a novej vygeneruju + info tahám přes ajax požadavky nebo případně z iframe. No a chci tam mít různý "vychytávky" jako automatické přihlašování, změna hesla a podobně (formulář na změnu hesla tam je i původní, ale opět by to chtělo trochu zmodernizovat). A protože Chrome nabízí synchronizaci všeho možnýho, chtěl bych synchronizovat i uživ. nastavení + to přihlašovací jméno a heslo. Kdyby měl třeba někdo 2 PC a podobně...

Jako první mě samozřejmě napadlo použít to vestavěné úložiště hesel, jenže s tím se nedá skoro nic a byla by to akorát tuna práce navíc. Tak jsem to chtěl dát do toho, kam dávám i další nastavení, ale zjistil jsem že není šifrovaný.

Re: [JS] Zašifrování a dešifrování dat

Odeslat příspěvekNapsal: 22. 5. 2013 20:52
od JirkaVejrazka
Tohle se ve vsech aplikacich, kde neni potreba maximalni bezpecnost resi ukladanim session ID do cookie. Uzivatel se jednou prihlasi jmenem a heslem a nasledne se vygeneruje session ID, ktere se ulozi jak u klienta, tak na serveru.

Kdyz mas moznost menit ten stary system tak, ze umi posilat Ajax apod., mas taky sanci pouzit jeho session management? Jiste tam nejaky byl.