相关疑难解决方法(0)

我需要开发一个可以长时间离线运行的Web应用程序.为了使其可行,我无法避免在本地存储中保存敏感数据(个人数据,而不是您只存储散列的数据类型).

我接受这不是推荐的做法,但是我没有做多少选择来保护数据:

• 使用stanford javascript加密库和AES-256将所有内容整合到本地存储中
• 用户密码是加密密钥,不存储在设备上
• 通过ssl从单个受信任服务器提供所有内容(在线时)
• 使用owasp antisamy项目验证进出服务器上本地存储的所有数据
• 在appcache的网络部分中,不使用*,而是仅列出与受信任服务器连接所需的URI
• 通常尝试应用OWASP XSS备忘单中建议的指南

我很欣赏魔鬼经常处于细节之中,并且知道对于本地存储和基于javascript的安全性存在很多怀疑.任何人都可以评论是否有:

• 上述方法的根本缺陷是什么？
• 这些缺陷的任何可能的解决方案？
• 当html 5应用程序必须长时间离线运行时,是否有更好的方法来保护本地存储？

谢谢你的帮助.

在Chrome 关于存储扩展的开发者页面中,它明确指出存储区域未加密,因此不应存储机密信息.

Safari提供了" SafariExtensionSecureSettings "类来安全地存储键/值对.Google Chrome中是否有同等效果？

我正在构建一个访问私有 API 的 Web 应用程序。我正在使用的 API 使用基于 TLS 的 HTTP 基本身份验证。我的客户已请求 Web 应用程序的“记住我”功能，以便用户可以在给定设备上保持持久身份验证。

我的快速而肮脏的解决方案是Authorization在localStorage验证标题后将其存储。当然，如果可以不受限制地访问用户的设备，那么任何人都可以从中复制 auth 标头localStorage并将其解码以检索用户的登录名/密码组合。

除了整个设备受到损害之外，将此类敏感数据存储在localStorage. 是否localStorage可以作为敏感数据（例如密码）的存储库？如果没有，您将如何在单个浏览器会话之外将此类数据持久保存在用户设备上？

（我希望每个人都可以使用他或她的私钥......密码都是90年代的）

编辑阅读HTML5 localStorage security 后，似乎很明显敏感数据的存储localStorage通常是一个坏主意，但在这种情况下，身份验证持久性有什么更好的选择？