デベロッパーツールで読むことができないようにパスワードを隠す方法

Question

firefoxのchromeまたはfirebugのユーザー開発ツールを使用している場合は、パスワードが表示されているスクリーンショットを参照してください。

以下のコントロールを使用しました。

<asp:textbox id="txtPassword" CssClass="icon-password" TabIndex="2" runat="server" textmode="Password"></asp:textbox> 

私はそれは、開発者ツールまたはその他の方法に視認できるような方法でパスワードを非表示にします。

Answer 1

私は、ユースケースを十分に理解していなくてもOPの質問は有効であると仮定します。おそらく、営業担当者は、実際にパスワードを知らずにさまざまなアプリケーションにサインインできるエンタープライズパスワード管理ツールを使用している企業ユーザが心配しているのかもしれません。この場合、開発者ツールは従業員が何か悪意のある行為をすることを許可するかもしれない。社外のパスワードを取得して悪意のある人に渡したり、監査のコントロールが適切でないオフサイトからそのパスワードを使用することができます。

残念ながら、「Inspect Element」ペインでパスワードの表示を無効にしても、ユーザーはコンソールにコードを入力することで引き続きパスワードを取得できます。 Console.Log(Form.txtPassword)。

テキストボックスのパスワード値を暗号化して別の場所（たとえばJavascript変数）に保存するような巧妙なコードを書いても、ユーザーは同じ種類のコードを使用してすべてのJavascript変数をダンプできます。

今、あなたはFacebookのように潜在的にdisable the Chrome consoleです。しかし、ユーザーはネットワークペインでパスワードを見ることができます。 Webサーバー上のアプリケーションを変更することなく、ある時点でパスワードをWebサイトに渡す必要はありません。

DeveloperToolsDisabledポリシーを使用してChrome開発ツールを完全に無効にすることをお勧めします。これはGroup Policyでレジストリに設定できます。その間、Fiddlerなどのトラフィックを表示できるツールのインストールを無効にする必要があります。

Answer 2

キーストロークで、各キーをデータベース（またはメモリ）に一時的に保存してから、Webページのキーを置き換えます。 On Log Inをクリックすると、実際にデータベースのそのフィールドにログインし、サブミットされた値をそのフィールドに置き換えます。これはバックスペース、キーストロークなどすべてを気にしなければならないので危険ですが、うまくいくでしょう。

しかし、私はあなたがこれについて心配するべきではないと信じています。入力した人がそれを見たい場合、何が問題なのですか？その人が入っている間に他の人がそれを見ようとしている場合は、それらをコンピュータから押してください。

Answer 3

開発ツールを使用すると、DOMおよびJavaScript仮想マシン全体にアクセスできます。

開発ツールから非表示にすることはできません。最高でパスワードをわかりにくくすることができます。

本当の質問は、なぜそれを隠したいのですか？これは安全な環境で実行されています。ユーザー（自分のパスワードを知っていると思われるユーザー）のみがアクセスできます。

ユーザーは、自分のマシンで実行されているjavascriptを変更できると想定する必要があります。