Quiero saber las principales amenazas de seguridad involucradas en el almacenamiento de las variables de sesión en el almacenamiento local del lado del cliente, en lugar de almacenarlo en las cookies. ¿Alguien me puede dar una breve descripción?
Quiero saber las principales amenazas de seguridad involucradas en el almacenamiento de las variables de sesión en el almacenamiento local del lado del cliente, en lugar de almacenarlo en las cookies. ¿Alguien me puede dar una breve descripción?
Supongo que te refieres a un identificador del lado del servidor, como PHPSESSID o ASPSESSIONID.
La accesibilidad del cliente viene a la mente. Con las cookies, se pueden marcar como HttpOnly , lo que las hace ilegibles desde JavaScript. Esto mitiga a un atacante que explota a XSS de robar su cookie de sesión porque un navegador que cumpla con los requisitos rechazará darle la cookie al script malicioso.
Por otra parte, el almacenamiento local no tiene tal protección que yo sepa. El navegador nunca envía el almacenamiento local al servidor (donde se encuentran las cookies), por lo que sería inútil tener un almacenamiento local que no se pueda leer del lado del cliente.
Lea otras preguntas en las etiquetas cookies session-management javascript local-storage