完全本地化的密码管理器的安全问题

Question

我正在创建一个 Chrome 扩展程序来自动填充一个特定网站“example.com”的用户名和密码。我想让一切都本地化，以防止任何安全问题。我的流程如下：

• 在“选项”页面上，用户可以输入用户名/密码，该用户名/密码保存在
• “example.com”上的chrome.storage.local中，扩展程序会使用chrome.storage.local.get(() => ...)

这有什么安全问题？

我的考虑

我担心

1. Chrome 说 storage.local 不安全，但他们没有提供原因。责任？
2. Chrome 还表示 storage.local 对于每个 Chrome 扩展程序/网站都是唯一的。因此，攻击者窃取密码的唯一方法是破解我和/或我的源代码，并将恶意更改推送到我的扩展，对吗？ （如果有任何其他方式，这是绝对不行的）
3. 理想情况下，我会将密码/用户名加密，例如使用 AES-256。但是，如果一切都是本地的，则要么有一个主密钥（任何攻击者都可以找到），要么有一个唯一密钥“安全地存储在应用程序中的某处”，可能是在安装时创建的。 <<但在哪里存储它呢？如果应用程序中有“安全的地方”，我应该将密码/用户名放在那里。

我想在没有服务器的情况下执行此操作，但是如果不可能，我愿意接受建议。