StoreBirds-LastPassの主なライバル

こんにちは、Habr。 最後に、「 StoreBirds 」というプロジェクトを紹介します。 これは、無料のパスワードマネージャーであり、Chromeブラウザー用のプラグイン形式のフォームフィラーです。 「StoreBirds」を作成したきっかけ、その主な機能、そしてこのような人気のある「LastPass」をパスワードマネージャーとして使用するというアイデアに惹かれなかった理由を教えてください...

なぜLastPassではない

もちろん、あなたは私と意見を異にすることができますが、「LastPass」は私にはあまり良くありません。それが理由です：

• LastPassインターフェースよりも多くの設定と機能は、文字通り詰め込まれていますが、その便利な使用にはあまり貢献していません。 はい、おそらくこれは彼にいくらかの柔軟性を与えますが、その普通のユーザーはその柔軟性を必要としますか？ 私は個人的には、通常のユーザーであり、すべてがシンプルで明確であると同時に、信頼性と安全性を無視していないときにそれを愛しています。
• たとえば、battle.netの登録フォームに記入するなど、一部のWEBリソースでの作業が正しくありません。 （はい、多くの人と同じように、私はBlizzardゲーム、特にStarCraftが本当に好きです:)）またはGWTエンジンの一部のサイト（ppc.clickbro.comなど）の登録フォームに記入します。 これは自分で簡単に確認でき、ホットキーを使用するかマウスを使用するかはまったく関係ありません。
• 重要な役割は、どのソフトウェアが個人情報をどのような形式で保存し、データを侵害する可能性があるかという質問の心理的、そしておそらく少し偏執的な側面によって果たされます。

同意します。オープンソフトウェアを使用するのは素晴らしいことですが、さらに良いのは、そのサーバー部分がホスト上にある場合です。 さて、いずれにせよ、上記の議論のおかげを含め、私はお気に入りのブラウザ「Chrome」用にパスワードマネージャーの独自のプロジェクトを書くことにしました。

プラグインを作成する前に、セキュリティ、信頼性、利便性という3つの基本条件を特定しました。

安全性

一般的なシステムセキュリティ機能：

1. サーバーは「ブラックボックス」として機能します。つまり、サーバー自体にのみ暗号化された情報を保存し、キー（ログイン/パスワード）は保存しません。
2. すべてのエンコードおよびデコード操作は、AES256を使用してクライアント側で厳密に実行されます（ユーザーパスワードはマスターパスワードとして機能します）。
3. サーバー上のユーザーの承認は、ハッシュログイン\パスワード\ salt-hash1_function（ログイン、パスワード、salt1）によってのみ行われます。
4. それ自体にアクションを含む各要求は一意であり、サーバーとクライアント側でのみ正しい処理が可能なランダムな動的コンポーネントを含みます。これにより、スキャンされて再実行される要求に対する追加の保護が提供されます。
5. サーバーへの接続はHTTPとHTTPSの両方にすることができます（プラグイン設定で接続の種類を選択できます）。これはすべてのデータが暗号化されるため、それほど重要な役割を果たしませんが、それでもHTTPS経由で接続できる場合、次に、このモードを使用します。
6. サーバー上のすべての重要なデータベースフィールドは、キーの主要部分であるローカルAES256暗号化に公開されます。これは、サーバー部分のソースファイル構成ファイルの対応する変数で設定されます。

ユーザー登録

システムへの新しいユーザーの登録は次のとおりです。

• クライアント側では、hash1_function（ログイン、パスワード、salt1）関数のログインとパスワードからのハッシュが取得され、サーバーに送信されます。このハッシュは、このユーザーのクライアントからサーバーへのシステム内の要求を承認するために使用されます。
• sec_hashシークレットハッシュは、hash2_function（ログイン、パスワード、salt2）関数によってクライアント側でも作成されます。このハッシュは、新しいユーザーが作成されるか、ユーザーパスワードが変更されたときにのみサーバーに送信され、クライアントからの各リクエストの一意性の作成に関与するサーバーに。

クライアントとサーバー間のデータ交換：

「4」項によると、システムの一般的なセキュリティ機能では、アクションを含むクライアントからサーバーへの各リクエストは一意である必要があります。 この一意性は、動的コンポーネントをその中に導入することによって達成され、その正しい処理はサーバーとクライアント側でのみ可能であり、秘密ハッシュ（sec_hash）に依存します。 動的コンポーネントは、サーバーからrandom_keyが要求されるhash3_function関数（sec_hash、random_key、salt3）によって決定されます。 一般的な作業スキームは次のとおりです。

• client-> server-次のリクエストのためにランダムキー（random_key）を取得するためのサーバーへのクライアントリクエスト。
  
  クライアントはランダムキーを受信し、それに基づいてhash3_function関数（sec_hash、random_key、salt3）によって動的コンポーネントを形成します。
• クライアント->サーバー-クライアントからサーバーへのリクエストで、アクションと形成された動的コンポーネントを含む暗号化されたコンテンツが含まれます。
  
  そのようなリクエストを受信すると、サーバーは、受信したリクエストの動的コンポーネントを、その側の同じアルゴリズムで生成された動的コンポーネントと比較し、一致する場合、この接続のランダムキーをリセットし、リクエストの内容に従ってアクションを実行できるようにします。

プラグインでは、ユーザーのユーザー名とパスワードをlocalStorage、暗号化形式、またはユーザー自身の頭に保存できます。 もちろん、頭の中ではより信頼性が高いのですが、便宜上、localStorageに保存する方が良いので、ブラウザを起動するたびにプラグインが自動的にログインします。 プラグインの認証に合格すると、サーバーからすべてのデータを取得し、ローカルデータベースにダンプせずにメモリ内で処理します。 私に関しては、ローカルに保存される情報が少ないほど良いです。 ユーザーがログイン/パスワードを紛失したときにサーバーに保存する必要があるため、ログイン/パスワードを復元する問題に否定的に反応しました。これは、サーバーの「ブラックボックス」の定義に既に矛盾しています。 しかし、それでも、リクエストで新しいユーザーを登録するときにユーザー名とパスワードをメールで通知する機能をオンにしました。つまり、ユーザーがリマインダーをオンにしたい場合、ユーザーのユーザー名とパスワードがサーバーに送信され、そうでない場合はいいえ、この状態が発生します新しいユーザーを登録するときに一度だけ、さらにユーザーがパスワードを変更すると、そのユーザーの自動リマインダーは無効になり、データベース内のログイン、パスワード、および電子メールのフィールドは上書きされます。

信頼性

StoreBirdsプロジェクトは完全にJavaScriptとPHPで記述され、そのクライアント部分はChromeのプラグインであり、純粋なJavaScriptで実行されます。 新しく作成された各関数は慎重にテストされ、その後、通常の使用可能および負荷テスト用にコンパイルしたテストケースは優れていました。 サーバー部分もすべてのテストに合格し、Apache（またはNginx）+ PHP + MySqlの束です-世界で最も一般的な束:) :) :)

便利さ

StoreBirdsのインターフェースと機能の開発は、「私にとって便利であり、誰にとっても便利です」という私自身の哲学に影響されました。 インターフェースの詳細や説明については説明しません。実際に使用してみてください。 おそらく、誰かがインターフェースを気に入らないかもしれません-あなたは皆を喜ばないでしょうが、私は多くが成功することを望みます:)。 興味深いチップに関しては、ユーザーアカウントをブロックし、パスワードでロック解除する機能が追加されました。これは、コンピューターに不在の間、誰もあなたのアカウントを使用できないようにするためです（ロックはサーバーで行われます）。 アカウント設定でこの同じロック解除パスワードを割り当てることができます。 拡張可能なリストの形式でのユーザーの保存の便利なプレゼンテーションも行われました。 原則として、「StoreBirds」には必要なすべての機能があります。プロジェクトのWebサイトを調べて試してみると、個人的にそれらに慣れることができます。

StoreBirdsサービス

Storebirds.comは既製の公式リソースとして機能します。 信頼できるSSL証明書と、信頼できる強力な作業用プラットフォームがすでにあります。 どなたでも大歓迎です。 また、サーバー側をホストにインストールすることもできます（ホストがある場合）。 このためには、Apache（またはNginx）+ PHP + MySQLバンドルを構成し、StoreBirdsプロジェクトのサーバー部分のダウンロードされたソースコードの構成で、MySql DBMSに対する承認のためのパラメーターを文字通り駆動する必要があります。データベースインストールスクリプトも実行する必要があります。 それだけです！ ただし、サイト上のページ「 storebirds.com/storebirds/user/begin_to_use.php 」にはすべてが記述されています。 独自のホストがない場合は、公式の「 storebirds.com 」を使用してください。 質問、要望、コメント、提案は、emailを送信してください：askstorebirds@gmail.comまたはページ「 storebirds.com/storebirds/user/support_page.php 」のフォームに記入します（システムに登録する必要があるフォームに記入します）。



ご清聴ありがとうございました！

PS（ユーザーの希望に応じて）サービスの新しい機能が追加されるので、ご期待ください。

すべての質問に答えようとします。



続き： http : //habrahabr.ru/blogs/google_chrome/138669/