HTML5 localStorage security

Question

Byłby dobry lub zły pomysł, aby użyć localStorage dla poufnych danych (przy założeniu, że obecne implementacje HTML5)?

Jakie metody można użyć do zabezpieczenia danych, aby uniemożliwić ich odczytanie przez osobę mającą dostęp do komputera klienckiego?

Answer 1

Zły pomysł.

1. Ktoś, kto ma dostęp do urządzenia, będzie zawsze mógł odczytać plik localStorage, nie można nic zrobić, aby temu zapobiec. Po prostu wpisz "localStorage" w konsoli firebug, a otrzymasz wszystkie dobrze wymienione pary klucz/wartość.
2. Jeśli masz lukę XSS w swojej aplikacji, wszystko przechowywane w localStorage jest dostępne dla atakującego.
3. Możesz spróbować zaszyfrować, ale jest pewien haczyk. Szyfrowanie go na kliencie jest możliwe, ale oznaczałoby to, że użytkownik musi podać hasło: i. Musisz polegać na niezbyt dobrze przetestowanych implementacjach javascript kryptografii.
4. Szyfrowanie po stronie serwera jest oczywiście możliwe, ale kod klienta nie może go odczytać ani zaktualizować, a więc zmniejszyło się obciążenie lokalne do gloryfikowanego pliku cookie.

Jeśli musi być bezpieczny, najlepiej nie wysyłać go do klienta. To, co nie jest pod Twoją kontrolą, nigdy nie będzie bezpieczne.

Answer 2

Kryptografia klucza publicznego może być stosowana w celu zapobiegania wszelkiego rodzaju ingerencji. Ponadto sprawdzanie integralności danych (takie jak CRC lub skróty) może być używane do sprawdzania poprawności danych przez serwer.