在浏览器中保留敏感数据？可能？

Question

我想知道这些是否是某种技术，因此将敏感数据保存在网络应用中。我知道您应该从不将敏感数据存储在本地存储或Cookie中。

登录网站时，浏览器通常会询问是否应该保留用户名和密码。它存放在哪里？它有多安全？最重要的问题是，您可以使用javascript / browser内置函数访问它吗？

我的场景：我生成了一次rsa密钥对（我知道随机的javascript不是那么好）并且需要将我的私钥保存在浏览器的安全位置，所以在下一个会话中我可以访问它并且解密一些数据。

提前致谢

Answer 1

建议进行基本的威胁分析。它有助于识别攻击向量，然后您可以选择正确的方法来保护密钥。密钥保护有几种可能性。请参阅以下示例：

• 您可以依赖浏览器原始策略并假设您的JS代码为受信任，并将密钥存储在localstore中 - 密钥不受有权访问用户配置文件的攻击者的保护
• 您可以让用户每次输入相当强的密码，然后私人需要访问并使用基于密码的加密存储密钥，然后加密的私钥可以存储在任何地方（本地存储，cookie） - 一个能够访问用户的对手密码能够获得密钥
• 您可以通过合并用户密码和服务器在成功验证用户后发送的一些秘密来创建私钥加密密钥 -