Utilizzo di SessionStorage per alcune informazioni utente

3

Ho un'applicazione che attualmente mantiene alcune proprietà dal profilo di un utente nella memoria di sessione per l'app da utilizzare quando necessario. Non manteniamo i dati sensibili come username o password o ssn nella memoria di sessione, ma manteniamo le proprietà come il ramo dell'utente lì. E l'app utilizza le informazioni sul ramo per caricare determinati dati, escludendo altri dati. Ad esempio, se il ramo di un utente è "New York", carichiamo i dati relativi a quel ramo.

Per chiarire ulteriormente, questa è una app in-house - dietro una VPN - quindi solo i dipendenti useranno l'app. E permettiamo loro di cambiare temporaneamente il loro ramo nell'app stessa se, per esempio, si trovano nella filiale di New York ma vogliono vedere i dati da Los Angeles.

L'uso della memorizzazione di sessione come questa è considerato una pratica ragionevole, o qualcosa del genere dovrebbe sempre essere memorizzato in qualcosa come l'archiviazione JavaScript? Ho un collega che sembra ritenere che questo non dovrebbe essere necessariamente nella memoria di sessione, ma non sono sicuro che sia il caso qui. Questo è considerato un no no importante in questo tipo di casi d'uso? O potrebbe essere considerato un ragionevole utilizzo della memorizzazione di sessione?

    
posta Muirik 12.11.2018 - 14:09
fonte

2 risposte

0

Probabilmente la preoccupazione maggiore che avrei con questo è la scalabilità. È improbabile che la lingua del server Web in uso stia memorizzando le variabili di sessione in qualsiasi tipo di database ottimizzato. Quindi, se stai pianificando di archiviare poche variabili brevi per alcune sessioni simultanee, direi che questo è un ottimo modo per farlo (l'ho usato in alcune delle mie applicazioni). Per quanto riguarda la sicurezza, è sempre preferibile memorizzare le variabili sul lato server anziché sul lato client.

    
risposta data 13.11.2018 - 10:04
fonte
0

La sicurezza non è una preoccupazione secondo me.

I dati memorizzati non sono sensibili e capisco che se viene modificato non consente all'utente di accedere a dati riservati e possono apportare le modifiche all'applicazione stessa. Se l'applicazione controlla il valore del lato server, non vi sono problemi di sicurezza. Detto questo, l'idea principale dietro la sicurezza di sessionStorage è che devi trattarlo come non affidabile . Ciò significa convalidarlo, codificarlo, evitarlo prima dell'uso e non utilizzarlo per dati sensibili.

    
risposta data 13.11.2018 - 10:23
fonte

Leggi altre domande sui tag