• 人気のコメント(10)
  • 全てのコメント
nijitaro nijitaro XSSされたらCookieでもだめだし、機密情報をウェブストレージに保存するなってだけの話だと思う。どうしてもSPAなどでトークンを保存する際は、保存期間を短くするのが正しいような。/色々調べた結果Cookieも進化してた。

2019/10/11 リンク

Onsentamago Onsentamago アブねぇ知らんかったわ

2019/10/10 リンク

dot dot せやな

2019/10/10 リンク

y-kawaz y-kawaz XSS前提にするなら大抵のものはダメじゃね?

2019/10/10 リンク

hogege hogege φ(..)メモメモ

2019/10/10 リンク

otchy210 otchy210 機密情報を保存するのは論外というのは完全同意。IndexedDB は良いんだけど localStorage との利用率シェアの差がすごいので、いずれ消えそうに見えて不安。

2019/10/10 リンク

D_first D_first https://dev.to/jondubois/comment/373l

2019/10/10 リンク

progrhyme progrhyme セッションや個人情報など機微情報を入れてはならない

2019/10/10 リンク

manhole manhole “どうかJWTなどのセッション情報をlocal storageに保存しないでください”

2019/10/10 リンク

ka-ka_xyz ka-ka_xyz ところでfirebaseさん https://firebase.google.com/docs/firestore/manage-data/enable-offline?hl=ja

2019/10/10 リンク

ku__ra__ge ku__ra__ge TL;DR cookieを適切に使え。cookieにはHttpOnlyをはじめとしてセッション情報を扱うことを前提にしたセキュリティ確保のための属性が存在するが、localStrageは完全にただの保管庫でしかない。

2019/10/10 リンク

yamadar yamadar localStorageは便利に使ってたけど取り除いたことあったなぁ

2019/10/10 リンク

korin korin 難しいなあ。「Web Storageは多くの場合、有用でセキュアなcookieの代替品になる」ということを論じている記事( https://postd.cc/web-storage-the-lesser-evil-for-session-tokens/ )と読み比べ誰か教えてほしい。時期によるSameSite=strictの有無?

2019/10/10 リンク

eagleyama eagleyama セキュリティないから、というひとことであわってしまう記事かな

2019/10/10 リンク

sigwyg sigwyg 意訳:サードバーティ製JavaScript(Adネットワークなど)が何やってるかわからんから、Local Storage(Session Storageも)に機密情報を入れるな。JWTとかもってのほか。

2019/10/10 リンク

stk132 stk132 "local storageはあらゆるJavaScriptコードから自由にアクセスできてしまいます" アドテク企業は「それがいいんじゃないか」って思ってそう

2019/10/10 リンク

kfujii kfujii CDNが汚染されてたら、っていう前提だと大抵のものがダメなのでは、という気が。

2019/10/10 リンク

z1h4784 z1h4784 直接他人のLocalStorageを読み取るのは難しいとしても、自分のものに何が保存されているかを見ることで攻撃のヒントが得られる。平文で保存されるのが嫌でほとんど使わない

2019/10/10 リンク

yutaro1985 yutaro1985 当たり前のことだと思いますけど、リスクとデメリットを理解した上で使わないと怖いですよ、という話ですかね。

2019/10/10 リンク

infobloga infobloga これはsts, cognitoやfirebase含む分散認証アーキテクチャの全否定。メリットがないとは言わないが、攻撃をしづらくするだけで本質的対策にはならないのに、失うものが大きすぎると思う。

2019/10/10 リンク

vanbraam vanbraam ユーザーの自衛策としては,ブラウザーの設定でLocal Storageを使用禁止にするくらい?今使ってるブラウザーでは禁止できないようだが..

2019/10/10 リンク

miruto miruto Local StorageもSession Storageもよく使うけど、流石に読まれてまずい情報は保存しないよ!

2019/10/10 リンク

xlc xlc localStorageはスコープがサイトごとなので、同一のサイトに悪意のあるJavaScriptを仕込めるような環境でなければ問題にならないよ。file: の場合は危険。パスごとにスコープを分けるべきだった。

2019/10/10 リンク

yojik yojik Cognitoとか、、

2019/10/10 リンク

metalsnake metalsnake 記事に同意。あとCDNを使うなら、必ずintegrity属性を使いましょう。そうすれば取得したリソースが改ざんされていないかブラウザーが検証してくれます。

2019/10/10 リンク

kamemoge kamemoge 機密情報はローカルに保存しないほうがいい話

2019/10/10 リンク

theatrical theatrical ほぼ無関係だけど、自分で使うためにChromeのExtension作るときに、タブ間でデータやりとりしたくて、どうしたらいいかって思ってググったら、Local Storage使えって書いてあってなるほどと思った。

2019/10/10 リンク

JULY JULY Webアプリは門外漢で、細かい所は分からないが、Local Storageは登場したときから、セキュリティ上のリスクを言われていた印象。ブコメで、ちゃんとしていたら大丈夫、が多いけど、多くの開発者はそこまで理解してない。

2019/10/10 リンク

deep_one deep_one 「本記事のねらいは、あくまでlocal storageにセッションデータを保存することをみなさんにやめてもらうことです」タイトルを修正するべき。

2019/10/10 リンク

advancedbear advancedbear セキュアじゃない領域に機密情報を置くなという当たり前の話ではあるものの、ローカルアプリとかで使うときに便利というのはあるのよな。

2019/10/10 リンク

関連記事

HTML5のLocal Storageを使ってはいけない(翻訳)

概要 原著者の許諾を得て翻訳・公開いたします。 英語記事: Randall Degges - Please Stop Using Local ...

ブックマークしたユーザー

  • ksss92019/10/19 ksss9
  • h0ba2019/10/19 h0ba
  • hamaco2019/10/18 hamaco
  • akahigeg2019/10/17 akahigeg
  • keno_ss2019/10/17 keno_ss
  • kei21002019/10/16 kei2100
  • sonota882019/10/16 sonota88
  • yoheimuta2019/10/16 yoheimuta
  • nakatamabashi2019/10/16 nakatamabashi
  • tarchan2019/10/15 tarchan
  • ramda-phi2019/10/15 ramda-phi
  • TakayukiN6272019/10/15 TakayukiN627
  • cou9292019/10/15 cou929
  • rochefort2019/10/14 rochefort
  • shiradofu2019/10/13 shiradofu
  • teruyastar2019/10/13 teruyastar
  • kesyomota2019/10/12 kesyomota
  • o_hiroyuki2019/10/12 o_hiroyuki
すべてのユーザーの
詳細を表示します

いま人気の記事

いま人気の記事 - テクノロジー

新着記事 - テクノロジー

同じサイトの新着

PART1 高度な機能を短期で作る 良いとこ取りが可能に - 新SaaSで変わるIT現場 開発は 「...:日経 xTECH Active

3 users https://active.nikkeibp.co.jp/

モンストの獣神化改に実装されたコネクトスキルとは何なのか徹底解説 | 無課金者の駆け込み寺

1 user https://possangames.work/