javascriptコード内に機密情報を保持するセキュリティ上の欠陥

Question

sensitiveInfoをjsコードに変えないでください。より良い方法は、ローカルストレージ内に配置することです。私の例の助けを借りて、最初のアプローチの脆弱性を説明することができますか？

例： すべてのjsファイルをまとめてバンドルするバンドラを使用します。 sensitiveInfoはグローバルではありませんが、YourStorage.jsの内部に格納されています。それを維持し、ファイルにアクセスするには、実行します。

import YourStorage from 'somepath/YourStorage'; 
YourStorage.sensitiveInfo = newValue; // QUESTION: can you steal this value? Is it accessible from console? 

質問：

1. は、コンソールから変数sensitiveInfoアクセス可能ですか？
2. 誰かが盗む方法を教えてください。sensitiveInfo？
3. 誰かが自分のコードからそれを盗むことができるのであれば、なぜ彼はローカルストレージからはいけませんでしたか？

---

UPDATE：（Iから保護するためにしようとしている？）私は、ユーザーが実際のお金を費やすことができ、モバイルウェブアプリを、書いています。私は彼らがお金を失うことができるあらゆる種類の攻撃（つまり、ローカルにインストールされたウイルス）から保護したい。

Answer 1

ダウンロード可能なjavaScriptに入れられたものはすべて、ユーザーのデバイスで簡単に見ることができます。

最初に、SSLを使用して情報を暗号化して、「ワイヤ」で暗号化します。

第2に、クレジットカード情報を処理するために使用されるトークン（このトークンにカード番号を保存しないでください！）のような非常に機密性の高い性質のデータの場合、そのデータはシード/アプリケーション・サーバーに安全に保管されているキー。

多くの場合、ユーザーの識別情報とデバイスの両方を検証するようにアプリケーションを作成します。この検証の後、アプリケーションのサーバー側のみに格納されているキーを使用して、トークンを復号化します。

このプラクティスを使用すると、ユーザーとデバイスが誰であるかを合理的に判断できます。当然のことながら、そのようなアプリケーションは、盗難されたデバイスがアプリケーションアカウント/データにアクセスするのを容易に防止するために、その資格情報をデバイスに格納しないで、適切な認証自体を必要とする。単にセキュリティのためにデバイスの画面ロックに頼らないでください。