Q&A
現在Vueでのアプリケーションを開発しており、local strageやsession storage も仕様していますが、それらはchrome の下記Applicationから確認できますよね?
これってアプリ側の設定でlocal strageに保存している内容が見えない様することなどは可能なのでしょうか?
よくlocal strageにトークンなどを保存するとそれがXSSで抜かれてしまうという様な話が言われると思いますがXSSなどしなくてもそもそもchromeのApplicationから見えてしまうのでは色々とセキュリティ上問題になるのでは?と思うのですが、アプリ側の設定でこちらブラウザから確認できなくする方法などあるのでしょうか?
一般的に言われているトークン等の情報をlocal strageに保存するとXSSされたときにとられてしまうとはこの様に保存したトークンが見えてしまうと困るという話ではないのでしょうか?
回答2件
0
ウェブアプリからブラウザの開発者ツールの挙動を制御することは不可能です。
見えてしまうのでは色々とセキュリティ上問題になるのでは?
なりません。
悪意のあるコードに機密情報を取得されるのが問題なのであって、ユーザから見えることは通常は問題にはなりません。もしユーザから見えることがセキュリティ問題になるとすると、それは開発者ツールで見えるかどうかに関係なくそのウェブアプリの設計の欠陥だと思います。
投稿2021/07/27 14:29
総合スコア21695
0
ベストアンサー
これってアプリ側の設定でlocal strageに保存している内容が見えない様することなどは可能なのでしょうか?
たとえ不可視化が可能だったとしても、localStorage.key()で抜くことが可能ですので、意味がないのでは。
Storage インターフェイスの key() メソッドは数値 n を渡すと、ストレージ内で n 番目のキーの名称を返します。
そもそもchromeのApplicationから見えてしまうのでは色々とセキュリティ上問題になるのでは?と思うのですが
そもそも、JavaScriptで取得可能なので、開発者ツールで見えるか見えないかは特段の問題になりません。
よくlocal strageにトークンなどを保存するとそれがXSSで抜かれてしまうという様な話が言われる
int32_tさんがおっしゃるとおり、第三者のトークンが盗まれることが問題です。
__なぜそれで関係のないユーザのlocal storageが覗けるのでしょうか? __
簡単のためにすごく大雑把に書くと、前述の通り、第三者が任意のJavaScriptが実行できるなら、localStorage を全て取得することが可能です。そして、XSSとはクロスサイトスクリプティングの略であり、サイトを横断してスクリプトを実行できてしまう脆弱性です。
つまり、そもそもXSSが成立してしまう時点でJavaScriptでできることは自由にできてしまうのでおおむね詰んでいるのですが、localStorage にトークンがある場合は即座にセッションをジャックされる恐れがある、ということです。
では、Cookieはどうなのかというと、大雑把に言うと HttpOnly や SameSite=Lax で防御できるので、必ずセッショントークンを奪えるとは限らない、という感じです。
私も詳しくはないので、詳細はよく調べてみてください。
投稿2021/07/28 01:13
編集2021/07/28 01:17
総合スコア36960
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2021/07/27 14:44
2021/07/27 23:50