ほとんどのパスワードマネージャにはWeb拡張機能があります。拡張機能はデスクトップアプリケーション(Dashlaneなど)またはブラウザに関連付けられたボールト(LastPassなど)からログインの詳細を取得します。これらの拡張機能は、ログインフォームに対応する詳細を入力します。しかし、ログインフォームから他の手段を使ってクレデンシャルをハックする可能性は常にあります。拡張によるログイン操作
したがって、フォームに入力せずにアプリケーションに直接ログインする拡張機能の可能性を知りたいと思います。つまり、私は拡張機能とパスワードマネージャを構築していると言います。私の拡張機能は、パスワードマネージャーからログインの詳細を取得し、Webページのログインフォームに記入する必要なく、独自のログイン操作を実行する必要があります。この場合、信用証明書が盗まれる確率は完全には根絶されませんが、軽減されます。
私はこれについていくつかの考えを得ることができたら本当に役に立ちます。
あなたの質問にはいくつかの欠陥があると思います。次のことについて少し考えてみてください。
フォームのオートフィルは、追跡するドメイン固有のページに関連付けられたフォーム要素を検出するだけで済み、拡張機能で簡単に処理できます。式を外してフォームを取り出すと、フォームの自動記入ではなく拡張機能が、ログインフォームを提供するサービスコントローラーにデータを自動ポストする必要があります。これを行うには、管理しているログインフォームに関連付けられたすべてのPOST URLを追跡する必要があります。
何らかの形でPOST POSTエンドポイントを把握しているとしましょう。次に、ユーザーを認証するために実際にデータをサービスにPOSTする必要があります。拡張機能(ログインフォームとは対照的)は同じ発信元ポリシーに準拠していないため、要求を実行できるようにCORSを追加する必要があります。しかし、もちろん拡張の中で簡単です。
これは私たちに次の懸念をもたらします。ログインフォーム要求はステートフルであるため、ログイン応答が成功すると、セッション管理に使用されるクッキーがクライアントに設定されます。拡張機能はサンドボックス環境で動作しているため、サードパーティのドメインからのCookieを変更することはできません。
ロングストーリー。あなたのアイデアは、プロセスの一歩を踏み外すという点で涼しいかもしれませんが、私の経験則は、あるパラダイムがあまりにも長引いている場合、その背後には1つ以上の理由があるに違いありません。
あなたが本質的に探しているのは、直接POSTリクエストです。ただし、キャプチャが必要な場合は、この機能が動作しない可能性があります。 –
@Manos Forsakenコメントをいただき、ありがとうございます。しかし、ウェブサイトのほとんどがキャプチャを採用しているわけではありません。これが達成できる他の方法はありますか? – mbvee
あなたは[OAuth 2.0](https)を常に使用すべきであることが示唆された関連する[SO post](http://stackoverflow.com/questions/7217137/chrome-extension-login-best-practices) ://en.wikipedia.org/wiki/OAuth#OAuth_2.0)を使用し、ユーザー名/パスワードを渡すことはありません。攻撃者がこのような情報を単に盗むことができるからです。詳細については、[チュートリアル:OAuth](https://developer.chrome.com/extensions/tut_oauth)を参照してください。 – Teyam