loo*_*on3 13 javascript google-chrome-extension
我已经阅读了这里的文档,该文档警告了在chrome.storage.local中存储安全信息的危险,因为它是未加密的.
对于我的应用程序,扩展程序使用随扩展程序打包的Javascript库在本地为用户生成密码.然后,该密码存储在chrome.storage.local中,并且永远不会通过扩展名传递给远程服务器.我知道存在安全隐患,因为这是未加密的,应用程序仍处于开发阶段.这篇文章的目的是发现可能的最佳安全方案.
具体问题是......
有什么方法(攻击向量)可以用来访问扩展本身之外的chrome.storage.local?
除了客户端运行扩展的风险被本地恶意脚本或应用程序攻击外,还存在远程攻击的风险吗?
在此先感谢您的帮助.
具有物理访问权限的任何人都可以读取 chrome.storage.local 的内容,但根据设计,这是不可能的让另一个扩展程序访问您的扩展程序中的数据,或者恶意站点可以直接访问数据。
但这并非不可能——可能存在一些零日漏洞,导致这种情况发生。
始终存在一些导致设备控制的远程攻击风险。一旦发生这种情况,与上面相同的答案就适用,即控制设备的人可以读取本地存储。
值得注意的是,Chromebook 对上述内容具有更好的保护,因为底层设备存储实际上可能是加密的,并且直接访问该存储的攻击面非常小。然而,其他设备没有这些保护。
| 归档时间: |
|
| 查看次数: |
368 次 |
| 最近记录: |