Q&A
ありがとうございます!
ご紹介いただいた回答も拝見させていただきました。
私もセキュリティの面ではlocalStorageよりCookieと認識していましたが単純にそうでもないのですね。。
XSSとブラウザのlocalStorageなどに値を保存しないプラクティスについて質問です。
下記のページなどを読んでみると、外部ライブラリなどから勝手にlocalStorageの情報を読み取られて外部に送信されてしまうリスクがあるからそういったJavaScriptが容易にアクセス可能なところに秘匿な情報を置くべきではないということはおおよそ理解しております。
https://techracho.bpsinc.jp/hachi8833/2019_10_09/80851
しかし、ふと考えてみるとStorageに限らずWebページ上に表示される内容も同じようにJavaScriptから読み取られてしまうという点では同じなのではと思えてきました。
(画面上の要素にはDOMから簡単にアクセスができるため)
この理屈でいくとフォームの確認画面などで入力した個人情報が表示される場面なども同様に危険だとなってしまうような気がしてしまい、画面上に表示するのとlocalStorageに保存することで何か違いがあるのだろうか知りたいです。
どうぞよろしくお願いします。
回答3件
0
既に私の過去の回答を紹介いただいていますが、今年のPHPカンファレンスでこのテーマの講演をしておりまして、そちらのスライドと動画を紹介したいと思います。
SPAセキュリティ入門~PHP Conference Japan 2021
PHP Conference Japan 2021: SPAセキュリティ入門 / 徳丸 浩 - YouTube
少し長いですが、ご質問への回答が全て含まれているていると思います。
投稿2021/12/22 14:42
編集2021/12/22 14:43
総合スコア11705
0
ベストアンサー
ふと考えてみるとStorageに限らずWebページ上に表示される内容も同じようにJavaScriptから読み取られてしまうという点では同じなのではと思えてきました。
はい。同じです。cookie も危険にさらされます。
参考)
こちらの ockeghem さんの回答が非常に面白いです。
JWTなどのTokenをlocalstrage(HTML5の)に保管することについて
投稿2021/12/22 11:40
退会済みユーザー
総合スコア0
XSS を使用した最大脅威デモ動画もあるので、紹介しときますね。
完全版:管理画面に対するXSS攻撃でクレジットカード情報を盗む手口-徳丸浩のウェブセキュリティ講座
https://www.youtube.com/watch?v=FpCabifwhKg
画面に表示されている情報どころかサーバ乗っ取りが可能です。
まぁ、XSS じゃなくてどっちかっていうとアップローダの不備が本質的な問題抱えてる動画ですけど。
ちなみにですが、ブラウザ側で JavaScript のおかしな挙動を制限する機能も実装されています。
Same-Origin Policy が代表的ですが、それ以外にもあるので調べてみると少しは安心できるようになります。
参考動画もありがとうございます...取り急ぎ冒頭部分だけ拝見しましたが恐ろしいですね。。一般ユーザでなく裏側の管理者がターゲットになるとこういう事態にもなるんですね。。後ほどじっくり見てみます。
またブラウザ側でJavaScriptの動作を制限する機能があるというのも初耳でした。
こちらも自分で調べてみようと思います。
たくさん教えていただき大変勉強になりました。
0
Storageに限らずWebページ上に表示される内容も同じようにJavaScriptから読み取られてしまうという点では同じなのでは
なのでサーバーサイドの言語、DBを組み合わせ、アクセスのために認証を必須にしたり(自身の情報は自身だけがアクセスできる)、セッションによって取得表示する情報をログイン者に紐づくものだけに限定するような仕組みが取られています。
また、非SSLに対してブラウザが警告出すようになって久しいですね。
投稿2021/12/22 11:31
総合スコア80875
早速ご回答ありがとうございます!
すみません、ちょっと理解ができていないため追加で質問させてください。
サーバサイドでの認証によってログインした人にだけ自身の情報を見せるという点はその通りだと思ったのですが、仮にサーバ側がセキュアにつくられていたとしてもログインした人のブラウザの画面に表示された時点でXSSの脆弱性がある場合には画面に表示された内容をJavaScriptで外部に送信されてしまう可能性があるのかなと考えたのですがいかがでしょうか?
そのXSSの脆弱性は誰がどう放り込むか です。
結局のところ誰かが入力されたデータが表示されるときに起きるものと思いますが、「自分が入力した情報は自分にしか見せない」場合は、結局自分にしか影響がないように思います。
もう少し想定を具体的にされたほうが良いのでは
想定がふわっとしておりすみません。。
前提としてサーバ側にXSSの脆弱性がある場合ではなくてフロント側JavaScriptにXSSの脆弱性があった場合を想定しています。
例えばブラウザの画面上に表示された内容を外部に勝手に送信してしまうような処理が組み込まれてしまっているJavaScriptのライブラリを知らずに使っているサイトがあった場合、ユーザから見ると自分が入力した情報が自分にしか見えていないようでも裏側ではJavaScriptで情報が抜き取られていることが起こりえるのかという質問でした。
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2021/12/25 02:58