HTML5 Web DB Security

Question

Sto cercando in una soluzione di app Web offline utilizzando HTML5. La funzionalità è tutto ciò di cui ho bisogno MA i dati memorizzati possono essere interrogati direttamente direttamente nel browser e quindi completamente non protetti!

Esiste comunque la possibilità di crittografare/nascondere in modo che i dati siano protetti?

Grazie, D.

Answer 1

Ci sono due preoccupazioni per l'archiviazione locale in HTML5 -

1. Un sito web la lettura dei dati in linea che un altro sito ha memorizzato in un browser degli utenti
2. Un utente finale interrogazione i tuoi dati offline siti web direttamente

Per 1, i browser applicano le restrizioni dello stesso dominio a localStorage (o al sqllit supporto del database fornito da Safari), pertanto altri siti Web non avranno accesso ai dati archiviati. Tuttavia, ricorda che se il tuo sito ha vulnerabilità XSS, sarebbe possibile rubare i dati.

Per 2, non è possibile impedirlo. È proprio come un cookie: l'utente può scegliere di visualizzarlo/cancellarlo/modificarlo.

È possibile la crittografia dei dati (vedere http://farfarfar.com/scripts/encrypt/), ma inutile. Non puoi avere una sola chiave/password globale, perché un utente malintenzionato può facilmente capire la chiave dal codice javascript. È possibile utilizzare una password immessa dall'utente per crittografare/decrittografare, ma le librerie di crittografia sul lato client non sono mature o testate abbastanza bene. Ci sono probabilmente tonnellate di modi per romperlo.

Quindi, per ora almeno, non archiviare i dati riservati in localStorage.

Answer 2

Se sei memorizzare i dati sul computer dell'utente, l'utente può sempre leggere, non importa quanto si esegue la crittografia è [supponendo che non si utilizza un hash ...]

I dati sensibili va avanti il lato server, sempre.

Answer 3

Si può anche vedere un article on this concern dall'autore del HTML5 SecureStore Porposal