Sto pensando di utilizzare sessionStorage o localStorage per memorizzare alcuni dati utente importanti.
Le funzionalità dell'estensione funzioneranno solo nel contesto di un determinato sito Web che per impostazione predefinita è HTTPS.
I dati non sono confidenziali ma voglio assicurarmi che non possano essere modificati o cancellati da un utente malintenzionato perché è fondamentale per il funzionamento dell'estensione.
Quali precauzioni devo prendere?
L'utente può modificare ed eliminare qualsiasi cosa memorizzata nel proprio browser. Qualsiasi malware installato nel sistema dell'utente con il privilegio dell'utente può anche farlo.
L'amministratore di sistema può anche modificare ed eliminare qualsiasi cosa memorizzata nel browser di qualsiasi utente. Qualsiasi malware con il privilegio dell'amministratore può fare lo stesso.
Un altro utente non privilegiato nello stesso sistema in genere non sarà in grado di modificare o eliminare le memorie del browser di un altro utente, tuttavia esiste un certo numero di altri tipi di attacchi che potrebbero essere possibili quando un utente malintenzionato ha un accesso fisico illimitato, quindi don ' si basano molto su di esso.
Una connessione MITMing non crittografata dell'attaccante tra l'utente e il server può, in alcune circostanze limitate, modificare ed eliminare questi depositi.
Un malintenzionato MITMing di una connessione correttamente crittografata tra l'utente e il server non sarebbe in grado di farlo. La crittografia configurata in modo improprio potrebbe non garantire una sicurezza efficace, quindi assicurati di configurare correttamente la crittografia e istruisci gli utenti a non ignorare errori e avvisi del certificato.
Leggi altre domande sui tag javascript client-side local-storage web-browser xss