HTML5 Web Database Security

Question

Следует ли использовать базу данных HTML5 для хранения какой-либо формы частной информации?

Скажем, у нас есть следующий сценарий;

Вы просматриваете веб-почтовый клиент, который использует веб-базу данных для хранения черновиков после того, как вы написали некоторую информацию и закрыли веб-браузер. Что мешает мне получить доступ к этой информации?

Если веб-страница пытается очистить старую информацию при открытии, пользовательский скрипт может легко помешать полной загрузке веб-сайта, а затем выполнить поиск в базе данных. Кроме того, имена баз данных и таблиц легко доступны через источник клиента веб-почты.

W3C Draft

Answer 1

Единственный способ, которым внешняя сторона может получить доступ к базе данных пользователя, - это прямой доступ к компьютеру пользователя или наличие уязвимости в вашем веб-приложении (например, XSS - межсайтовый скриптинг).В противном случае стандартная безопасность браузера требует, чтобы только сценарии, запущенные на веб-страницах из определенного домена, могли обращаться к базам данных, которые были созданы / сохранены в том же домене (та же политика источника), то же самое, что мешает вам делать междоменные запросы Ajax или читать другиекуки-файлы веб-сайта, которые можно преодолеть с помощью атаки XSS.

Мне кажется, что хранение черновика электронной почты является разумным, тогда как такие данные, как данные кредитной карты, пароли и т. д., должны храниться исключительно на стороне сервера.Вам нужно будет позвонить, что и где хранить, основываясь на том, что вы собираетесь хранить.

Answer 2

Следует ли использовать базу данных HTML5 для хранения какой-либо личной информации?

Зависит от того, насколько конфиденциальна информация. Я не хотел бы оставлять данные кредитной карты где-то около .

Вы просматриваете веб-почтовый клиент, который использует веб-базу данных для хранения черновиков после того, как вы написали некоторую информацию и закрыли веб-браузер. Что мне мешает получить доступ к этой информации?

При условии, что у вас нет физического доступа к компьютеру (в этом случае пользователю необходимо принять относительно жесткие меры безопасности) и вы не запускаете службу электронной почты (в этом случае вам нужен доступ к электронной почте) стандартная безопасность браузера останавливает вас.