HTML5のLocal Storageを使ってはいけない（翻訳）｜TechRacho by BPS株式会社

概要 原著者の許諾を得て翻訳・公開いたします。 英語記事: Randall Degges - Please Stop Using Local Storage 原文公開日: 2018/01/26 著者: Randall Degges 日本語タイトルは内容に即したものにしました。 画像は元記事からの引用です。 追記（2021/10/18） Local Storageについては徳丸先生の以下の資料もおすすめです。Local Storageは使い方次第という観点で解説しています。 PHPカンファレンス2021の資料です / “SPAセキュリティ入門～PHP Conference Japan 2021” https://t.co/7B7exX2kWB — 徳丸 浩 (@ockeghem) October 3, 2021 追記（2022/08/23） 以下の徳丸先生のツイートからリンクされている記事も

[ockeghem]

ウェブストレージに機密情報を保存しないほうが良いことは徳丸本2版P446に書いてあります（宣伝）

[crexist]

Local Storage を使うな、というより Local Storageに機密情報を保存すな、という話だった。なお個人的には異論は無い。

[OkadaHiroshi]

その前提だと、JavaScript でフォーム等の入力欄が読み出せるのでフォーム入力で秘密情報を入力できなくなるのではないか。外部ドメインの script src を使わないというなら理解できるが Local Storage だけ禁止は疑問。

[gabill]

むしろ第三者のJavaScriptコードが埋め込まれるのが当然の現状が問題だと思う。特にアドネットワーク。絶えず変化するから原因究明が難しい。

[hiro_2005]

因みにこの記事原文だとコメントで結構そんなことないぜっていう指摘が上がってるからそれも読まないとダメな気がする。

[mkusunok]

Webプログラミングは簡単に見えて多数の地雷が埋まってるんだよね

[buhoho]

そこまで警戒するのはパラノイアじみてないか。コードが汚染さた時点でlocalStorageどころか好き勝手できそうだけど/認証情報扱うのやめておいたほうがいいは同意

[trkbt10]

localstorage を読み出せる状態ならすでになんでもし放題なわけだし

[Fushihara]

いったん script srcのotherdomain.example.com に悪意あるコードが注入されたらページ自体(localstorage、indexdb)へのフルアクセスが可能になるのが問題って事か。cookieのhttpOnlyも、jsが信頼出来ないから切り捨てるって意味だし

[omron]

外部JSが信頼できるか否かな気もする

[teckl]

> 重要な情報を一切含まない, 極端なハイパフォーマンスを要求されない, 5 MBに収まる, stringデータだけの情報, それ以外の場合はlocal storageを使わないでください

[yarumato]

“local storageの代わりに何を使えばいいか。cookieに押し込んでおくべきって書いてある。　重要なデータの保存にはサーバーサイドセッションを使うべき。string以外のデータはIndexedDBがベスト”

[daaaaaai]

はい

[tohokuaiki]

“「JWTはlocal storageに保存して認証メカニズムに使いましょう」という誤った知識を教えているチュートリアルやYouTube動画やプログラミング教室や大学やブートキャンプが何千とあります”

[masa8aurum]

Local Storageに機密情報を保存するな、という話 / 原文だとツッコミコメントが入っているらしいので読む

[nilab]

「秘密情報を一切含まないこと」「一般に入手可能な情報であること」「そこそこの量である（5 MBを超えない）こと」「stringのみの情報であること」「保存するアプリケーションでパフォーマンスを要求されないこと」

[naga_sawa]

localStorageのスコープが同一オリジンか否かだけでしか区切られてないのでXSSもさることながら3rdライブラリ多用するようになった昨今では機微情報には使えないという話/制限設定できたらなぁ

[pmint]

"…が乗っ取られて…が改変されたとします"…虚偽のセキュリティ記事によくある文で「いかがでしたか？」みたいなやつ。この記事を真に受けるか尋ねるだけで、FizzBuzzよりも実践的な面接試験になる。

[kitokitoki]

「HTML5のLocal Storageを使ってはいけない」

[kiririmode]

ローカルストレージはセキュアでない

[nijitaro]

XSSされたらCookieでもだめだし、機密情報をウェブストレージに保存するなってだけの話だと思う。どうしてもSPAなどでトークンを保存する際は、保存期間を短くするのが正しいような。/色々調べた結果Cookieも進化してた。

[dot]

せやな

[y-kawaz]

XSS前提にするなら大抵のものはダメじゃね？

[hogege]

φ(..)ﾒﾓﾒﾓ

[otchy210]

機密情報を保存するのは論外というのは完全同意。IndexedDB は良いんだけど localStorage との利用率シェアの差がすごいので、いずれ消えそうに見えて不安。

[D_first]

https://dev.to/jondubois/comment/373l

[progrhyme]

セッションや個人情報など機微情報を入れてはならない

[manhole]

“どうかJWTなどのセッション情報をlocal storageに保存しないでください”

[ka-ka_xyz]

ところでfirebaseさん https://firebase.google.com/docs/firestore/manage-data/enable-offline?hl=ja

[ku__ra__ge]

TL;DR　cookieを適切に使え。cookieにはHttpOnlyをはじめとしてセッション情報を扱うことを前提にしたセキュリティ確保のための属性が存在するが、localStrageは完全にただの保管庫でしかない。

[yamadar]

localStorageは便利に使ってたけど取り除いたことあったなぁ

[korin]

難しいなあ。「Web Storageは多くの場合、有用でセキュアなcookieの代替品になる」ということを論じている記事( https://postd.cc/web-storage-the-lesser-evil-for-session-tokens/ )と読み比べ誰か教えてほしい。時期によるSameSite=strictの有無？

[eagleyama]

セキュリティないから、というひとことであわってしまう記事かな

[sigwyg]

意訳：サードバーティ製JavaScript（Adネットワークなど）が何やってるかわからんから、Local Storage（Session Storageも）に機密情報を入れるな。JWTとかもってのほか。

[stk132]

"local storageはあらゆるJavaScriptコードから自由にアクセスできてしまいます" アドテク企業は「それがいいんじゃないか」って思ってそう

[kfujii]

CDNが汚染されてたら、っていう前提だと大抵のものがダメなのでは、という気が。

[z1h4784]

直接他人のLocalStorageを読み取るのは難しいとしても、自分のものに何が保存されているかを見ることで攻撃のヒントが得られる。平文で保存されるのが嫌でほとんど使わない

[yutaro1985]

当たり前のことだと思いますけど、リスクとデメリットを理解した上で使わないと怖いですよ、という話ですかね。

[infobloga]

これはsts, cognitoやfirebase含む分散認証アーキテクチャの全否定。メリットがないとは言わないが、攻撃をしづらくするだけで本質的対策にはならないのに、失うものが大きすぎると思う。

[vanbraam]

ユーザーの自衛策としては,ブラウザーの設定でLocal Storageを使用禁止にするくらい?今使ってるブラウザーでは禁止できないようだが..