Estoy pensando en usar sessionStorage o localStorage para almacenar algunos datos importantes del usuario.
La funcionalidad de la extensión solo funcionará en el contexto de un sitio web particular que por defecto es HTTPS.
Los datos no son confidenciales, pero quiero asegurarme de que no puedan ser modificados o eliminados por un atacante malicioso porque es fundamental para el funcionamiento de la extensión.
¿Qué precauciones debo tomar?
El usuario puede modificar y eliminar cualquier cosa almacenada en su navegador. Cualquier malware instalado en el sistema del usuario con el privilegio del usuario también puede hacerlo.
El administrador del sistema también puede modificar y eliminar cualquier cosa almacenada en el navegador de cualquier usuario. Cualquier malware con el privilegio del administrador puede hacer lo mismo.
Por lo general, otro usuario no privilegiado en el mismo sistema no podrá modificar o eliminar el almacenamiento de otro usuario en el navegador, sin embargo, hay una serie de otras vías de ataques que podrían ser posibles cuando un atacante tiene acceso físico sin restricciones, así que no lo haga. Depende mucho de ello.
Un atacante MITMing conexión no encriptada entre el usuario y su servidor puede en algunas circunstancias limitadas, modificar y eliminar estos almacenamientos.
Un atacante MITMing una conexión correctamente encriptada entre el usuario y su servidor no podría hacerlo. Es posible que el cifrado configurado incorrectamente no le brinde una seguridad efectiva, por lo tanto, asegúrese de configurar su cifrado correctamente y capacite a sus usuarios para que no ignoren los errores y advertencias de los certificados.
Lea otras preguntas en las etiquetas web-browser xss javascript client-side local-storage