Desidero conoscere le principali minacce alla sicurezza coinvolte nell'archiviazione delle variabili di sessione nell'archiviazione locale lato client, invece di memorizzarla nei cookie. Qualcuno può darmi una breve descrizione?
Desidero conoscere le principali minacce alla sicurezza coinvolte nell'archiviazione delle variabili di sessione nell'archiviazione locale lato client, invece di memorizzarla nei cookie. Qualcuno può darmi una breve descrizione?
Immagino tu intenda un identificatore sul lato server, come PHPSESSID o ASPSESSIONID.
Mi viene in mente l'accessibilità del cliente. Con i cookie, possono essere contrassegnati come Http Only , rendendoli illeggibili da JavaScript. Ciò attenua un utente malintenzionato che sfrutta XSS dal furto del cookie di sessione perché un browser conforme rifiuta di fornire il cookie allo script dannoso.
L'archiviazione locale, d'altra parte, non ha tale protezione di cui sono a conoscenza. La memoria locale non viene mai inviata al server dal browser (dove sono i cookie), quindi sarebbe inutile disporre di una memoria locale che non può essere letta dal lato client.
Leggi altre domande sui tag javascript local-storage cookies session-management