我提出需要保留用户的个人资料,因此它可以拉从各种服务器的正确的信息时如何以加密形式存储用户数据?
用户登录所以我发现这个职位的扩展名:Storage of passwords in Google Chrome Extension。我不觉得它太有帮助。
我相信,如果我可以存储用户的登录密码的哈希(唯一我的扩展名)然后我可以使用密码作为密钥来加密所有他们的个人信息。我担心在我引用的帖子中发表的评论,他说,他们可以读取扩展的源代码并计算出散列。
我的想法是否可行?如果是这样,我应该使用什么?还是其他建议?
这有点取决于使用什么密码。例如,如果他们是银行账户,那么可能值得一个坏人来看看你的JavaScript,并找出如何解密文件。这就是看加密内容的过程。
如果内容是密码的东西不是很值钱,你可以做这样的事情。
如果内容是有价值的,则需要使用JavaScript做加密的服务器上的某个地方,而不是在客户端。尽管可以通过在服务器上执行加密并将数据存储在客户端上,但这样做几乎总是要求您也存储它们。
你应该个人信息或密码不存储在localStorage的,因为对计算机具有访问权限的人可以很容易地访问这些信息。即使它被加密,也可以通过检查源代码轻松解密(任何人都可以轻松查看扩展的源代码)。
一种解决方案是将信息存储在服务器上,使用第三方登录(谷歌,Facebook)来验证用户,而不是密码。
你想达到什么目的?客户端的任何加密信息对您或用户都是无用的,除非您还提供了在客户端解密它的方法,这会破坏加密的目的。将其安全地存储在服务器上,并通过HTTPS保护您的连接。 – 2013-04-04 18:03:23
你会在哪里使用这个想法?我的意思是加密。为什么它需要在客户端 – 2013-04-04 18:04:28
@RobertHarvey它是一个包含广告频道订阅的配置文件。我正在构建一个在客户端进行分析并缓存广告的原型。在网站上保留加密的原因是我不需要可信任的服务器,因此信息始终由客户端控制。我想我可以接受客户端是可信的,然后接受只有合适的人才能访问它。 – unixsnob 2013-04-05 10:49:18