質問編集履歴
5
追記
title
CHANGED
|
File without changes
|
body
CHANGED
|
@@ -73,4 +73,12 @@
|
|
|
73
73
|
それに,(この分野に明るくないので的外れな考えかもしれませんが)ソースコードにcredentialsを直接書き込むのはセキュリティ的にいかがなものだろうかと疑問が残ります.
|
|
74
74
|
|
|
75
75
|
### 補足情報(FW/ツールのバージョンなど)
|
|
76
|
-
Google chrome Version 87.0 (Official Build) (64-bit)
|
|
76
|
+
Google chrome Version 87.0 (Official Build) (64-bit)
|
|
77
|
+
|
|
78
|
+
|
|
79
|
+
### 追記
|
|
80
|
+
|
|
81
|
+
[https://www.reddit.com/r/javascript/comments/8txe2q/how_to_securely_store_an_api_token_in_a_chrome/](https://www.reddit.com/r/javascript/comments/8txe2q/how_to_securely_store_an_api_token_in_a_chrome/)によると,
|
|
82
|
+
> What you should not store inside the local storage are e.g. passwords. For that you should simply use the credential management API that lets chrome store any credentials in its password storage for you.
|
|
83
|
+
|
|
84
|
+
とのことですが,多くの方の見解を伺いたいです.よろしくお願いします.
|
4
title
CHANGED
|
File without changes
|
body
CHANGED
|
@@ -10,7 +10,7 @@
|
|
|
10
10
|
とあり,APIの秘密鍵を保存するには適さないと考えられます.
|
|
11
11
|
このような場合,どのようにAPI_KEYを保存するのが適切でしょうか.
|
|
12
12
|
|
|
13
|
-
また,仮に上記の方法で保存した場合,(chromeの脆弱性を除いて)`chrome.storage.sync`によって同期されるアカウント保持者以外の第三者が
|
|
13
|
+
また,仮に上記の方法で保存した場合,(chromeの脆弱性を除いて)`chrome.storage.sync`によって同期されるアカウント保持者以外の第三者が保存されたデータを取得する方法が存在するということなのでしょうか.それとも万が一データを取得された場合に,暗号化されていないため安全性が担保されないという話なのでしょうか.
|
|
14
14
|
|
|
15
15
|
|
|
16
16
|
### ソースコード例
|
3
title
CHANGED
|
File without changes
|
body
CHANGED
|
@@ -10,7 +10,7 @@
|
|
|
10
10
|
とあり,APIの秘密鍵を保存するには適さないと考えられます.
|
|
11
11
|
このような場合,どのようにAPI_KEYを保存するのが適切でしょうか.
|
|
12
12
|
|
|
13
|
-
また,仮に上記の方法で保存した場合,(chromeの脆弱性を除いて)`chrome.storage.sync`によって同期されるアカウント保持者以外の第三者が
|
|
13
|
+
また,仮に上記の方法で保存した場合,(chromeの脆弱性を除いて)`chrome.storage.sync`によって同期されるアカウント保持者以外の第三者がcredentialsを取得する方法が存在するということなのでしょうか.それとも万が一データを取得された場合に,暗号化されていないため安全性が担保されないという話なのでしょうか.
|
|
14
14
|
|
|
15
15
|
|
|
16
16
|
### ソースコード例
|
2
title
CHANGED
|
File without changes
|
body
CHANGED
|
@@ -70,7 +70,7 @@
|
|
|
70
70
|
|
|
71
71
|
### 調べたこと
|
|
72
72
|
[https://www.anupshinde.com/posts/salesforce-rest-api-chrome-extension/](https://www.anupshinde.com/posts/salesforce-rest-api-chrome-extension/)ではユーザにソースコードをダウンロードさせ,直接ソースコードを書き換えてもらう手法が提案されています.しかし,将来的に開発中の拡張機能はChromeWebStoreに公開したいと考えているのでこの方法はあまり現実的ではありません.
|
|
73
|
-
それに,(この分野に明るくないので的外れな考えかもしれませんが)ソースコードに
|
|
73
|
+
それに,(この分野に明るくないので的外れな考えかもしれませんが)ソースコードにcredentialsを直接書き込むのはセキュリティ的にいかがなものだろうかと疑問が残ります.
|
|
74
74
|
|
|
75
75
|
### 補足情報(FW/ツールのバージョンなど)
|
|
76
76
|
Google chrome Version 87.0 (Official Build) (64-bit)
|
1
api_key:API_KEY → apikey:API_KEY
title
CHANGED
|
File without changes
|
body
CHANGED
|
@@ -3,7 +3,7 @@
|
|
|
3
3
|
現在,API_KEY(secret key)を必要とするREST APIを内部で利用するGoogle chrome 拡張機能の開発をしています.
|
|
4
4
|
各ユーザのAPIを用いるためのAPI_KEYの安全な保存方法についてアドバイスをいただければと思います.
|
|
5
5
|
|
|
6
|
-
外部サイトにてユーザが各自取得してきたAPI_KEYを拡張機能のOptionsでユーザに入力させて`chrome.storage.sync.set({
|
|
6
|
+
外部サイトにてユーザが各自取得してきたAPI_KEYを拡張機能のOptionsでユーザに入力させて`chrome.storage.sync.set({apikey: API_KEY}, function() {});`にて保存する方法を考えました.
|
|
7
7
|
しかし,[https://developer.chrome.com/docs/extensions/reference/storage/](https://developer.chrome.com/docs/extensions/reference/storage/)によると,
|
|
8
8
|
> Confidential user information should not be stored! The storage area isn't encrypted.
|
|
9
9
|
|