web-dev-qa-db-ja.com

パスワードマネージャーのWebアプリに関する懸念

JavaScriptでパスワードマネージャーを作成しました。ブラウザで動作します。
試してみてください

Webベースのパスワードマネージャーの概念に根本的な問題はありますか?
ハッシュが必要以上にメモリに残っているかどうか、またはブラウザの動作にこのシステムを安全でないものにする根本的な問題があるかどうかを心配する必要がありますか?

ここにメインのソースファイルがあります 、詳しく調べたい場合。

編集:明確にするために、このアプリは100%ローカルで実行され、外部の依存関係はなく、必要に応じて一部の設定を除いて情報をCookieに保存しません。
これは決定論的なハッシュパスワードマネージャーです。

編集2、具体的には、ユーザー入力を変数に格納し、結果のハッシュを別の変数に格納する場合、その情報が漏洩する脅威はどの程度妥当ですか?

web-browserpassword-managementjavascriptscrypt
1
markonius

攻撃者がWebページ/タブの境界を越えてデータを読み取ることを可能にするブラウザの脆弱性を誰かが発見した場合、そこから情報を抽出できるリスクがあります。

ブラウザは本質的にアプリケーションのコンテナであるため、これらすべてのセキュリティへの影響が適用されます。

1
mroman