HTML5 localStorage security

Question

Sarebbe un'idea buona o cattiva utilizzare localStorage per dati sensibili (assumendo le attuali implementazioni HTML5)?

Quali metodi posso utilizzare per proteggere i dati in modo che non possano essere letti da una persona che ha accesso al computer client?

Answer 1

Cattiva idea.

1. Qualcuno con accesso alla macchina sarà sempre in grado di leggere il localStorage, non c'è molto che si possa fare per impedirlo. Digita semplicemente "localStorage" nella console di Firebug e ottieni tutte le coppie chiave/valore ben elencate.
2. Se si riscontra una vulnerabilità XSS nell'applicazione, qualsiasi elemento memorizzato in localStorage è disponibile per un utente malintenzionato.
3. Puoi provare a crittografarlo, ma c'è un problema. Crittografarlo sul client è possibile, ma significherebbe che l'utente deve fornire una password e che si deve dipendere da implementazioni javascript non crittografate della crittografia.
4. La crittografia sul lato server è ovviamente possibile, ma il codice client non è in grado di leggerlo o aggiornarlo e pertanto è stato ridotto localStorage a un cookie glorificato.

Se deve essere sicuro, è meglio non inviarlo al cliente. Ciò che non è nel tuo controllo non può mai essere sicuro.

Answer 2

La crittografia a chiave pubblica può essere applicata per impedire qualsiasi tipo di intrusione. Inoltre, i controlli di integrità dei dati (come CRC o hash) possono essere utilizzati per assicurarsi che i dati siano convalidati dal server.