Sicherheitsmängel der Aufbewahrung sensibler Informationen innerhalb Javascript-Code

Question

Jeder weiß, dass Sie sensitiveInfo Variable nicht an Ihrem Js-Code halten sollten. Der bessere Weg ist, es in den lokalen Speicher zu legen. Könntest du bitte anhand meines Beispiels Schwachstellen des ersten Ansatzes erklären?

Beispiel: Sie verwenden Bündler, die alle Ihre js-Dateien zusammenfassen. sensitiveInfo ist nicht global, aber in YourStorage.js gespeichert. Für den Zugriff auf Dateien, die es hält Sie tun:

import YourStorage from 'somepath/YourStorage'; 
YourStorage.sensitiveInfo = newValue; // QUESTION: can you steal this value? Is it accessible from console? 

Fragen:

1. Ist sensitiveInfo Variable zugänglich von der Konsole?
2. Könnten Sie bitte Mechanismus beschreiben, wie jemand sensitiveInfo stehlen kann?
3. Wenn jemand kann es aus meinem Code stehlen, warum konnte er nicht aus dem lokalen Speicher?

---

UPDATE: (wem ich versuche, von zu schützen) Ich schreibe mobile Web-App, wo die Nutzer echtes Geld ausgeben können. Ich möchte sie vor allen Arten von Angriffen schützen, wo sie ihr Geld verlieren können (d. H. Lokal installierte Viren)

Answer 1

Alles in javaScript, das heruntergeladen werden kann, kann leicht auf dem Benutzer Gerät gesehen werden. Die häufigste Methode zum Sichern vertraulicher Informationen, die an einen Client weitergeleitet werden müssen, lautet:

Verwenden Sie zuerst SSL, um die Informationen über das "Kabel" zu verschlüsseln.

Zweitens, wenn die Daten sehr sensibel sind - wie ein Token zur Verarbeitung von Kreditkarteninformationen (speichern Sie die Kartennummer nicht in diesem Token!) - sollten diese Daten selbst verschlüsselt werden, unter Verwendung eines Seed/Schlüssel, der sicher auf dem Anwendungsserver gespeichert ist.

Oft schreiben Sie die Anwendung so, dass sowohl die Identität des Benutzers als auch das Gerät verifiziert werden muss. Nach dieser Überprüfung würden Sie dann das Token entschlüsseln - indem Sie einen Schlüssel verwenden, der nur auf der Serverseite Ihrer Anwendung gespeichert ist und nur von dieser verfügbar ist.

Mit dieser Vorgehensweise können Sie vernünftigerweise davon ausgehen, dass der Benutzer und das Gerät diejenigen sind, von denen sie sagen, dass sie vorhanden sind. Natürlich benötigen solche Anwendungen selbst eine ordnungsgemäße Authentifizierung - wobei diese Berechtigungsnachweise nicht auf dem Gerät gespeichert werden -, um zu verhindern, dass gestohlene Geräte leicht für den Zugriff auf das Anwendungskonto/die Anwendungsdaten verwendet werden können. Verlassen Sie sich zur Sicherheit nicht einfach auf eine Bildschirmsperre.