私の状況:
POSTリクエストからのログインパスワードは、キャッシュがクリアされない限り(ブラウザを手動で閉じるかぎり)、クリアテキストでブラウザのメモリに残されます。
接続はHTTPSです。
可能な解決策:
私の質問は、これは実現可能ですか?長所と短所?セキュリティとパフォーマンスの考慮事項はありますか?
私は次のようないくつかの質問をしました:
リクエストごとに新しいキーのペアを生成することを提案しているので、最初の質問は実際には私の質問に答えません(実現可能性とパフォーマンスに関する私の最大の懸念です)。他の2つのリンクは、HTTPS接続がある限り、javascript暗号は基本的に無意味であることを示唆しているようです。考え?
このシナリオでは、別の公開鍵と秘密鍵を生成するのはやり過ぎです。
ブラウザのキャッシュを読み取るマルウェアが本当に心配な場合は、何もキャッシュしないようにブラウザに指示できます。
<meta http-equiv=”Cache-Control” content=”no-cache” />
<meta http-equiv=”Cache-Control” content=”no-store” />
ユーザーがメモリを読んでユーザー名やパスワードの平文を見つけるのが心配な場合は、シナリオ#2で定義されているものと同様のソリューションで実装できます( http:// resources。 infosecinstitute.com/browser-based-vulnerabilities-in-web-applications/ )
コンテンツを表示するには、そのページを少し下にスクロールする必要があることに注意してください。最初にポップアップする巨大な広告があります。