Chrome拡張機能の信頼性データ（パスワード）を読み取るにはどうすればよいですか？

Question

私はこれを改善しようとしていますChrome extension 次の機能を追加してください。

ユーザーがパスワードボックス（<input type="password" />）をクリックまたはフォーカスすると、ダイアログボックスが表示されます。ユーザーはパスワードを入力できます。拡張後、自動的に暗号化されたパスワードが計算され、パスワードボックスに入力されます。

まず、DOMを変更してjQuery UIダイアログを追加して実装します。しかし、これはセキュリティ上のリスクを伴う可能性があることを認識しています。 Webページはページ全体を反復処理し、パスワードボックスを見つけてその価値を得ることができます。これは正しいですか？そうであれば、どうすれば安全にパスワードを読むことができますか？

また、ページアクションまたはブラウザアクションをプログラムで「クリック」してパスワードボックスを表示する方法を見つけようとしています。しかし、Chromeでは禁止されているようです。そのようなインターフェースはありません。

Answer 1

多分this exampleから学ぶことができます。あなたはパスワードを盗んでいるわけではないかもしれませんが、これは<input type="password" />フィールドの内容をどのように読むことができるかを示しています。

Answer 2

window.promptをコンテンツスクリプトから使用できます。これにより、ページが結果にアクセスできなくなるため、セキュリティが強化されます。ただし、拡張機能がインストールされているかどうかをWebサイトが検出して独自のプロンプトを作成できるため、安全ではありません。

もう1つの方法はdesktop notificationsです。これは、インストールされた拡張機能と通知を表示する権限を持つWebサイトだけがプロンプトを表示できるため、もう少し安全です。また、パスワードフィールドを使用できるhtml通知も可能です。

3番目のオプションは、実験infobar APIを使用することです。残念ながら、実験的なAPIをChromeウェブストアに公開することはできません。