web-dev-qa-db-ja.com

Chromeはログインを保存していますPOSTリクエストをメモリに保存しています

Chrome(Ubuntu)を使用してサイトにログインしています。ログアウトしてブラウザを閉じても、「Hexedit」を使用してログインPOSTリクエストのコンテンツ(ユーザー名とパスワードを含む)を表示できます。

私は IEに求められる同様の質問 を見てきましたが、提供された回答に確信が持てません。それらのほとんどは、予防策のように聞こえます。解決策をオンラインで検索しました。誰かがクライアント側で暗号化を使用することを提案しましたが、それは私が簡単にできる解決策ではありません。

GmailとFacbookのログインでクライアント側の暗号化が使用されていません(ユーザー名とパスワードがPOSTリクエストで送信され、暗号化されていないことがわかります)。しかし、「Hexedit」を使用してGmailおよびFacebookに保存されたPOSTリクエストを表示できません。だから私はできることがあると思いますか?

ブラウザ(Chromeだけでなく、一般的に)がサイトに送信されたPOSTリクエストのコンテンツを保存しないようにするにはどうすればよいですか?

5

あなたは本当にこれを心配する必要はありません。クライアントのブラウザの仮想メモリを管理する責任はありません。

あなたが心配していることをよく考えてください。これが悪用される唯一の方法は、攻撃者がクライアントのマシンにいて、プロセスのメモリをダンプすることです。これが事実である場合、彼らはすでに資格情報を取得する複数のより簡単な方法(キーロギング、ブラウザの中間者など)を持っています。

あなたが本当にそれについて夢中になりたいなら、私はあなたがこのようなことをすることができると思います:

  • 「パスワード」フィールドを、ページ全体に広がる複数の異なるフォーム要素に分離します
  • POSTリクエストで各文字を異なる変数に割り当てます
  • すべてのキャラクターを異なる順序で送信し、あなたの側で組み立て直します

それがうまくいくかどうかは100%わかりませんが、手動で抽出しないとメモリで簡単に読み取れるとは思いません。

2
Nick Simonian