HTML5 localStorage безопасность

Question

Было бы хорошей или плохой идеей использовать localStorage для конфиденциальных данных (с учетом текущих реализаций HTML5)?

Какие методы я могу использовать для защиты данных, чтобы их не мог прочитать человек, имеющийдоступ на клиентском компьютере?

Answer 1

Плохая идея.

1. Кто-то, имеющий доступ к машине, всегда сможет прочитать локальное хранилище, и вы ничего не можете сделать, чтобы предотвратить его. Просто введите «localStorage» в консоли Firebug, и вы получите все пары ключ / значение, перечисленные в списке.
2. Если в вашем приложении есть уязвимость XSS, все, что хранится в localStorage, доступно для злоумышленника.
3. Вы можете попробовать зашифровать его, но есть одна загвоздка. Шифрование на клиенте возможно, но это означает, что пользователь должен предоставить пароль и , вы должны зависеть от не очень хорошо проверенных реализаций криптографии на JavaScript.
4. Шифрование на стороне сервера, конечно, возможно, но тогда клиентский код не может прочитать или обновить его, и поэтому вы сократили localStorage до прославленного файла cookie.

Если он должен быть защищенным, лучше не отправлять его клиенту. То, что не находится под вашим контролем, никогда не может быть в безопасности.

Answer 2

Криптография с открытым ключом может применяться для предотвращения любого вида вторжения. Кроме того, проверки целостности данных (например, CRC или хэши) могут использоваться для проверки данных на сервере.