HTML5にローカルデータを保存するための既存のセキュリティ問題は、誰にも秘密ではありません。 しかし、より良い理解のために、私は思い出します。 HTML5では、localStorageおよびWebDatabaseにデータをローカルに保存できます。 このデータへのアクセスは、Javascriptから可能です。 ストレージへのアクセス権の差別化は、プロトコル+ドメイン+ポートの組み合わせに基づいています。 明らかに、必要なプロトコル+ドメイン+ポートに対応するアドレスのサイトにユーザーを強制的に訪問させることにより、このデータへの不正アクセスを取得できます。 そして、必要なデータを考慮してサーバーに送信するjavascriptコードを配置します。 これは、実績のある方法を使用して実現できます。
- DNSまたはARPスプーフィングの使用。
- ネットワーク機器にアクセスできる;
- HoneyPotを無料のWiFiアクセスポイントまたはTorネットワーク出力ノードとして使用する。
- スパイウェアを使用する。
ツールのセットは非常に幅広く、明らかに、HTML5ストレージを使用してセキュリティクリティカルなデータをホストすることは不可能です。 ローカルデータベースの有名なリソースで、認証メカニズムで使用される秘密キーがそこに保存されているのを発見したとき、私は非常に驚きました。 「ああ」と私は言った! しかし、その後、「おそらく、HTTPS経由でのみこのメカニズムを使用することを提案します。」 はい、HTTPSではこのスキームはすでに良く見えますが、上記の方法の一部は機能しません(もちろん、サイトに大きな文字で書く価値があります)。 しかし、私はさらに掘り始め、再び動揺しました。 サイトのメインページには、HTTPSの利点をゼロに減らすHTTP接続スクリプトが含まれています-キーも盗まれます。 それでも、このキーの開示はリソースへの直接アクセスを提供せず、キーはパスワードへの追加にすぎないことに注意する必要があります。
HTML5アプリケーションを開発するとき、ローカルストレージにプライベートデータを保存するときは注意が必要だと思います。