Es klingt, als gäbe es hier ein Abstraktions-Problem.
Ich wollte gerade einen Abschnitt darüber schreiben, wie man das Passwort hasht und erklärt, dass dies ein Back-End-Server ist, aber dann merkte ich, wie albern das ist.
Zuerst gibt der Benutzer ein Passwort ein. Es ist nun selbstverständlich, dass der Benutzer das Passwort kennt. Sie haben das Recht, das Passwort im Klartext anzuzeigen, weil so Autocompletes und Passwort-Manager funktionieren. Dies ist nicht anders als das Kopieren/Einfügen des Passworts in eine Textdatei. Keine Website verwaltet dies, weil der Benutzer das Passwort bereits eingegeben hat.
Dann dachte ich, waren besorgt über das Feld text vom Typ sein und nicht password aber ich sah sie nur an der ember-rapid-forms Seite und unterstützen sie type="password".
Danach dachte ich, dass Sie vielleicht besorgt sind, dass der Benutzer eine Konsole öffnen und das Passwort extrahieren wird. Aber in diesem Fall hat der Benutzer gerade das Passwort eingegeben, das ist einfach dumm. Aber was ist mit einem Mann in der Mitte, der Code in die Ember App injiziert. Nun, wenn das der Fall wäre, dann tauchen Sie in den Ember-Code ein, wenn JavaScript einfach in das DOM für das Eingabe-Tag tippen und den Klartext dort finden kann. Auch dies ist eine theoretische Idee und etwas, von dem ich nichts weiß, vor dem ich mich zu schützen versuche. Es ist viel wahrscheinlicher, dass der Benutzer für das Passwort entführt und gefoltert wird, dann muss das clientseitige JavaScript ausgenutzt werden. Außerdem, wenn das die Absicht war, ist es viel einfacher, das Betriebssystem als den Ember-Code zu nutzen.
Nach dieser Schmährede habe ich wirklich versucht zu verstehen, woher du kommst und wovor du dich schützen wolltest. Sie haben die automatische Vervollständigung und Wiederverwendung erwähnt. In diesen Fällen bin ich mir nicht sicher, welche Beispiele Sie haben, die Ember sowieso nicht machen würde. Keine Webseite, die ich kenne, verwendet unkonventionelle Mittel, um einen Benutzer zu schützen, der ein Passwort von Autocompleten über den Browser oder einen Passwortmanager eingibt. Denken Sie daran, wenn ein Passwortmanager automatisch das Passwort eingibt, warum würde der Benutzer eine Konsole öffnen, um den einfachen Text zu erhalten, wenn er einfach die Admin-Schnittstelle des Passwortmanagers öffnen könnte.
Was die Wiederverwendung von Passwörtern betrifft, kann ich mir kein Szenario vorstellen, in dem eine Ember-Anwendung das gleiche Passwort für andere Webseiten/Anwendungen hätte.
Normalerweise senden Sie das Passwort nicht von Ihrem Backend zum Frontend –
Ich nicht, ich lege es in ein Modell, das für ein paar Seiten lebt, bevor es überhaupt gespeichert wird. –