Quanto è sicuro lo spazio locale?

Che ne dici di non archiviare la password, nemmeno nella memoria locale? È possibile utilizzare una funzione di derivazione della chiave per ottenere una chiave dalla password. Con un sale e un numero ragionevole di iterazioni, questo dovrebbe essere decentemente sicuro.

L'utilizzo di JavaScript con memoria locale è al massimo sicuro (il tuo server più la connessione tra browser e server).

Se qualcuno riesce a modificare il server e servire diversi file JS o modificare (durante la trasmissione) i file JS inviati dal server al client, possono fare qualsiasi cosa con i dati che desiderano.

Inoltre: poiché i dati si trovano sul client, non è possibile fare nulla per proteggere i dati. Su un server ordinario potresti ad es. limitare la frequenza di accesso (esempio per una password remota sicura: solo 1 password letta entro 10 minuti). Tutto ciò è inutile se i dati sono sul client e tutto il codice che lavora con i dati può essere manipolato da un utente malintenzionato.

Dopotutto, anche con localstorage hai bisogno di proteggere la tua applicazione web! Perché fare cose sul server (si spera) sicuro allora? In caso contrario, perché non utilizzare un programma locale installato sul client?

Che ne dici di ottenere una chiave dal server che viene utilizzata per decrittografare i dati localStorage?

Potrebbe funzionare così:

• Quando viene stabilita una sessione, il server restituisce una chiave.
• Tale chiave viene utilizzata per crittografare / decrittografare i dati in localStorage.
• Quando l'utente lascia la pagina, la chiave viene persa, impedendo ad altri di leggere cosa c'è in localStorage.

Questo dovrebbe consentire l'accesso solo quando un utente ha una sessione stabilita.

generalmente non è difficile cancellare la memoria locale, ma dipende dal browser. Devi comunque avere gli strumenti per gli sviluppatori dei browser (firebug, roba per i webkit, ecc.)

pensaci come pensi di biscotti. Non dovresti mai tenere i dati sensibili nella memoria locale. password, numeri di carte di credito, qualunque cosa.

puoi sempre implementare alcune funzionalità per cancellare la memoria locale dopo x quantità di inattività, ma questo non risolverà un problema di sicurezza. È come se una sessione automatica scadesse. Lo stesso problema si applica, se una persona lascia un computer e poi qualcun altro si siede prima che la sessione scada, possono fare cose.

Due problemi:

1. se si memorizzano password di testo normale e quindi si basa sul fatto che non è probabile che vengano trovate, è solo la sicurezza attraverso l'oscurità. Basta archiviare i dati in chiaro e fare affidamento sullo stesso presupposto (non ancora sicuro, ma nessun falso senso di sicurezza)

2. sulla maggior parte dei browser, se gli utenti cancellano la cache rimuovono anche i loro contenuti localStorage. Le persone non si aspettano di perdere dati importanti quando cancellano cronologia e cache.

Penso che tu stia piegando troppo il significato di localStorage. Se vuoi utilizzare un database locale che funzioni bene con le applicazioni web, puoi dare un'occhiata a CouchDB 's couchapps .

Ma non memorizzare la password.

Potresti usare javascrypt . Chiedi all'utente una password che diventi la chiave di crittografia / decrittografia

Non è necessario memorizzare la password, ma richiederla ogni volta che l'utente apre la pagina.
Può essere memorizzata, se l'utente vuole, e ora le implicazioni.

Ma poi per unire il commento di stivlo, che dire:

1. accesso a più dispositivi
2. Backup
3. password dimenticata
4. cancellazione della cache troppo facile

Penso che dovresti riconsiderare l'inizio del ragionamento. Evitare la nuvola solo a causa di alcuni eventi recenti e sensazionali, è una rapida conclusione.