HTML5 localStorage security

Question

Serait-il une bonne ou une mauvaise idée d'utiliser localStorage pour les données sensibles (en supposant les implémentations HTML5 actuelles)?

Quelles méthodes puis-je utiliser pour sécuriser les données afin qu'elles ne puissent pas être lues par une personne ayant accès à l'ordinateur client?

Answer 1

Mauvaise idée.

1. Quelqu'un ayant accès à la machine sera toujours en mesure de lire le localStorage, il n'y a rien beaucoup que vous pouvez faire pour l'empêcher. Juste type "localStorage" dans la console de firebug, et vous obtenez toutes les paires clé/valeur bien répertoriés.
2. Si vous avez une vulnérabilité XSS dans votre application, tout ce qui est stocké dans localStorage est disponible pour un attaquant.
3. Vous pouvez essayer et de le chiffrer, mais il ya un hic. Le chiffrement sur le client est possible, mais ça voudrait dire que l'utilisateur doit fournir un mot de passe et de vous avoir à dépendre de la pas-si-bien-testé javascript implémentations de la cryptographie.
4. Le chiffrement sur le côté serveur est bien sûr possible, mais alors le code client ne peut pas le lire ou de le mettre à jour, et si vous avez réduit localStorage pour une simple cookie.

Si elle a besoin d'être sécurisé, de son mieux pour ne pas l'envoyer au client. Ce n'est pas sous votre contrôle ne peut jamais être sûr.

Answer 2

La cryptographie à clé publique peut être appliquée pour empêcher tout type d'intrusion. En outre, des contrôles d'intégrité des données (tels que CRC ou hachages) peuvent être utilisés pour s'assurer que les données sont validées par le serveur.