sensitiveInfo
をjsコードに変えないでください。より良い方法は、ローカルストレージ内に配置することです。私の例の助けを借りて、最初のアプローチの脆弱性を説明することができますか?javascriptコード内に機密情報を保持するセキュリティ上の欠陥
例: すべてのjsファイルをまとめてバンドルするバンドラを使用します。 sensitiveInfo
はグローバルではありませんが、YourStorage.js
の内部に格納されています。それを維持し、ファイルにアクセスするには、実行します。
import YourStorage from 'somepath/YourStorage';
YourStorage.sensitiveInfo = newValue; // QUESTION: can you steal this value? Is it accessible from console?
質問:
- は、コンソールから変数
sensitiveInfo
アクセス可能ですか? - 誰かが盗む方法を教えてください。
sensitiveInfo
? - 誰かが自分のコードからそれを盗むことができるのであれば、なぜ彼はローカルストレージからはいけませんでしたか?
UPDATE:(Iから保護するためにしようとしている?)私は、ユーザーが実際のお金を費やすことができ、モバイルウェブアプリを、書いています。私は彼らがお金を失うことができるあらゆる種類の攻撃(つまり、ローカルにインストールされたウイルス)から保護したい。
*あなたは*から*を保護しようとしていますか? – deceze
ローカルストレージから何かを戻すことができます。それは単なるテキストであり、非常に簡単にアクセスできます。機密データはローカルストレージに保存しないでください。 –
@JosephMarikle autologinのためにauthTokenをどこに保存するのですか? –