من یک وبسایت دارم، برای آن افزودنی همراه با فایرفاکس و کروم اضافه کردم. هر دو آن خصوصی هستند. در فایرفاکس آنها فقط می توانند از وبسایت من نصب شوند و برای Chrome نیز لینک موجود در فروشگاه را فقط می توان بر روی سایت نیز دریافت کرد.
افزودنی در حال حاضر به روش زیر مجاز است:
- وب سایت
- کاربر می رود به تنظیمات
- کاربر انتخاب کلید جدید
- کلید در زمینه متن نشان داده شده است، که در آن کاربران می توانند آن را کپی کنید، پس از آن کلید هرگز دوباره نشان داده نخواهد شد، مگر اینکه یک جدید تولید شود [19659004] کاربر باید کلید را به addon اضافه کند
- افزودن این کلید را به عنوان بخشی از ارتباط با سرور ارسال می کند.
سرور از کلید برای تأیید افزودن به عنوان یکی از کاربران استفاده می کند . این به مجوز افزودنی مجاز کاربر مجاز می رسد، با این حال برخی مجوز ها به علت عدم تایید رمز عبور کاهش می یابد، مثلا کاربر نمیتواند رمز عبور را تغییر دهد یا کلید کاربردی جدیدی ایجاد کند (این تنها در وب سایت که کاربر باید وارد شود، با ورود به سیستم و رمز عبور)
همه کاربران در مورد اثرات شدید ممکن است از به اشتراک گذاشتن کلید با دیگران هشدار داده می شوند.
وب سایت از HTTPS با HSTS استفاده می کند و اخیرا به لیست پیش بارگذاری ارسال شده است. بنابراین من نگران نشت کلید HTTP نیستم. کلید به عنوان بخشی از browser.storage API ذخیره می شود
اگرچه کلیدها برای برنامه های کاربردی مناسب هستند اما من نگران هستم.
در حال حاضر کلید ها با استفاده از bin2hex (random_bytes (64)) در زیر PHP تولید می شوند.
در حالی که کلیدها به طور پیش فرض دسترسی محدود به حساب دارند، من تعجب می کنم که آیا این روش حتی با طراحی ایمن است یا یک رویکرد بهتر وجود دارد که برای آن می توانم افزودنی را بدون نیاز کاربران به ورود به سیستم در هر زمانی مجاز کنم.
به طور پیش فرض کلید هرگز به طور خودکار حذف نمی شود، با این حال کاربران مجاز به حذف کلید فعلی و تولید کلید جدید یکی از پایگاه های قبلی را حذف می کند
من تعجب می کنم که آیا حملات احتمالی وجود دارد که من فکر نکرده ام یا اینکه حتی راه های بهتر برای تأیید کاربران وجود دارد.
