ブラウザはHTTP認証の詳細をどこに保存しますか
ブラウザはHTTP認証資格情報をどこに保存しますか?ブラウザにアクセスした場合、すべてのHTTP認証の詳細を確認できる場所はありますか?ほとんどのブラウザーでは、すべての履歴をクリアした後でも、資格情報はクリアされません。これらの資格情報は、ブラウザーを閉じたときにのみクリアされます。それらを削除しないことの背後にある有効なユーザビリティの理由はありますか?これは、ブラウザの観点から見たセキュリティ上の欠陥ではありませんか?
確かに興味深い質問ですが、その答えは、あなたが話しているブラウザーが準拠して構築されたブラウザーの設計、実装、プロトコルによって異なります。
Google Chromeの実際の例をいくつか見てみましょう:
- Chromeはログイン認証情報データベースを
C:\Users\<username>\Appdata\Local\Google\Chrome\User Data\Default\Web Dataに保存します - また、いくつかの機密ユーザーデータを
C:\Users\<username>\Appdata\Local\Google\Chrome\User Data\Defaultに保存します - Chromeセキュリティの問題について詳細を読む こちら 。
他のブラウザの場合も同様です。例: RAMからのセッションパスワードの抽出 (別名:メモリフォレンジック)。そのために役立つ tools はたくさんあります。
ユーザーアカウントとブラウザをホストするオペレーティングシステムを保護することが想定されているため、これは深刻なセキュリティ問題ではないと主張する人もいます。