क्या अभिकर्मक के साथ लोकलस्टोरेज में jwt स्टोर करना सुरक्षित है?

मैं वर्तमान में reactjs का उपयोग करके एक एकल पृष्ठ एप्लिकेशन बना रहा हूं। मैंने पढ़ा है कि लोकलस्टोरेज का उपयोग न करने के कई कारण एक्सएसएस कमजोरियों के कारण हैं। चूंकि React सभी उपयोगकर्ता इनपुट से बच जाता है, क्या अब लोकलस्टोरेज का उपयोग करना सुरक्षित होगा?

अधिकांश आधुनिक सिंगल पेज एप्लिकेशन में, हमें वास्तव में टोकन को क्लाइंट साइड पर स्टोर करना होगा (सबसे आम उपयोग का मामला - उपयोगकर्ता को पेज रिफ्रेश करने के बाद लॉग इन रखने के लिए)।

कुल 2 विकल्प उपलब्ध हैं: वेब स्टोरेज (सेशन स्टोरेज, लोकल स्टोरेज) और क्लाइंट साइड कुकी। दोनों विकल्पों का व्यापक रूप से उपयोग किया जाता है, लेकिन इसका मतलब यह नहीं है कि वे बहुत सुरक्षित हैं।

टॉम एबट ने JWT सेशनस्टोरेज और लोकलस्टोरेज सिक्योरिटी को अच्छी तरह बताया है :

वेब संग्रहण (लोकलस्टोरेज / सेशनस्टोरेज) उसी डोमेन पर जावास्क्रिप्ट के माध्यम से सुलभ है। इसका मतलब है कि आपकी साइट पर चलने वाले किसी भी जावास्क्रिप्ट का उपयोग वेब स्टोरेज तक होगा, और इसकी वजह से क्रॉस-साइट स्क्रिप्टिंग (XSS) हमलों की चपेट में आ सकते हैं । XSS, संक्षेप में, एक प्रकार की भेद्यता है जहां एक हमलावर जावास्क्रिप्ट को इंजेक्ट कर सकता है जो आपके पृष्ठ पर चलेगा। बेसिक एक्सएसएस हमलों को इनपुट के माध्यम से जावास्क्रिप्ट को इंजेक्ट करने का प्रयास करता है, जहां हमलावर <script>alert('You are Hacked');</script>यह देखने के लिए एक फॉर्म में डालता है कि क्या यह ब्राउज़र द्वारा चलाया जाता है और अन्य उपयोगकर्ताओं द्वारा देखा जा सकता है।

XSS को रोकने के लिए, सामान्य प्रतिक्रिया सभी अविश्वसनीय डेटा से बचना और एनकोड करना है। प्रतिक्रिया (ज्यादातर) आपके लिए है! XSS भेद्यता संरक्षण के लिए प्रतिक्रिया कितना जिम्मेदार है, इस बारे में यहां एक शानदार चर्चा है ।

लेकिन यह सभी संभावित कमजोरियों को कवर नहीं करता है! एक अन्य संभावित खतरा सीडीएन या बाहर के बुनियादी ढांचे पर होस्ट किए गए जावास्क्रिप्ट का उपयोग है ।

यहाँ फिर टॉम है:

आधुनिक वेब ऐप में ए / बी परीक्षण, फ़नल / मार्केट विश्लेषण और विज्ञापनों के लिए 3 पार्टी जावास्क्रिप्ट लाइब्रेरी शामिल हैं। हम अपने एप्लिकेशन में अन्य लोगों के कोड को आयात करने के लिए Bower जैसे पैकेज प्रबंधकों का उपयोग करते हैं।

क्या होगा यदि आपके द्वारा उपयोग की जाने वाली केवल एक स्क्रिप्ट से समझौता किया जाता है? दुर्भावनापूर्ण जावास्क्रिप्ट को पेज पर एम्बेड किया जा सकता है, और वेब स्टोरेज से समझौता किया जाता है। इस प्रकार के एक्सएसएस हमलों से हर किसी का वेब स्टोरेज मिल सकता है जो आपकी साइट पर जाता है, बिना उनकी जानकारी के। शायद यही कारण है कि संगठनों का एक समूह वेब स्टोरेज में किसी भी जानकारी को महत्व नहीं देने या किसी भी जानकारी पर भरोसा नहीं करने की सलाह देता है। इसमें सत्र पहचानकर्ता और टोकन शामिल हैं।

इसलिए, मेरा निष्कर्ष यह है कि भंडारण तंत्र के रूप में, वेब संग्रहण स्थानांतरण के दौरान किसी भी सुरक्षित मानकों को लागू नहीं करता है । जो कोई भी वेब स्टोरेज को पढ़ता है और इसका उपयोग करता है, उन्हें यह सुनिश्चित करने के लिए अपनी मेहनत करनी चाहिए कि वे हमेशा HTTPS पर JWT भेजें और कभी HTTP न करें।

मुझे पता है कि यह एक पुराना प्रश्न है लेकिन @ mikejones1477 ने जो कहा है, उसके अनुसार, आधुनिक फ्रंट एंड लाइब्रेरी और फ्रेमवर्क आपको XSS से सुरक्षा प्रदान करने वाले पाठ से बच जाते हैं। कुकीज़ का उपयोग करने का सुरक्षित तरीका क्यों नहीं है इसका कारण यह है कि जब लोकलस्टोरेज करता है तो कुकीज़ CSRF को रोकती नहीं हैं (यह भी याद रखें कि कुकीज़ जावास्क्रिप्ट द्वारा भी सुलभ हैं, इसलिए XSS यहाँ बड़ी समस्या नहीं है), इस उत्तर को फिर से शुरू करें ।

स्थानीय संग्रहण में एक प्रमाणीकरण टोकन संग्रहीत करने और मैन्युअल रूप से प्रत्येक अनुरोध में जोड़ने का कारण CSRF से सुरक्षा करता है वह है मुख्य शब्द: मैनुअल। चूँकि ब्राउज़र स्वचालित रूप से उस सामान्य टोकन को नहीं भेज रहा है, अगर मैं bad.com पर जाता हूं और यह POST http://example.com/delete-my-account भेजने का प्रबंधन करता है , तो यह मेरे ऑर्टन टोकन को भेजने में सक्षम नहीं होगा, इसलिए अनुरोध पर ध्यान नहीं दिया गया है।

बेशक httplyly पवित्र क़ब्र है, लेकिन आप अभी भी CSR सुरक्षा भेद्यता के साथ रिएक्टज या किसी भी जेएस ढांचे से पहुंच नहीं सकते हैं। मेरी सिफारिश स्थानीय स्तर पर होगी या यदि आप कुकीज़ का उपयोग करना चाहते हैं तो सुनिश्चित करें कि आपकी CSRF समस्या का कुछ समाधान इम्प्लाईमेटिंग जैसे कि django करता है ।

सीडीएन के बारे में सुनिश्चित करें कि आप कुछ अजीब सीडीएन का उपयोग नहीं कर रहे हैं, उदाहरण के लिए सीडीएन जैसे कि गूगल या बूटस्ट्रैप प्रदान करते हैं, समुदाय द्वारा बनाए रखा जाता है और इसमें दुर्भावनापूर्ण कोड नहीं होता है, यदि आप सुनिश्चित नहीं हैं, तो आप समीक्षा करने के लिए स्वतंत्र हैं।

असल में अपने JWT को अपने लोकलस्टोरेज में स्टोर करना ठीक है।

और मुझे लगता है कि यह एक अच्छा तरीका है। अगर हम सीडीएन का उपयोग कर एक्सएसएस, एक्सएसएस के बारे में बात कर रहे हैं, तो यह आपके ग्राहक के लॉगिन / पास के रूप में अच्छी तरह से होने का एक संभावित जोखिम है। स्थानीय संग्रहण में डेटा संग्रहीत करने से CSRF के हमलों को कम से कम रोका जा सकेगा।

आपको दोनों के बारे में पता होना चाहिए और जो आप चाहते हैं उसे चुनें। दोनों हमलों यह सब आप के बारे में पता होना चाहिए की जरूरत नहीं है, बस याद रखें: आपका पूरा एपीपी केवल आपके app के सबसे सुरक्षित बिंदु के रूप में सुरक्षित है।

एक बार फिर से भंडारण ठीक है, XSS, CSRF के लिए असुरक्षित हो, ... नहीं है

यदि आप CDN का उपयोग करते हैं तो यह सुरक्षित नहीं है:

दुर्भावनापूर्ण जावास्क्रिप्ट को पेज पर एम्बेड किया जा सकता है, और वेब स्टोरेज से समझौता किया जाता है। इस प्रकार के एक्सएसएस हमलों से हर किसी का वेब स्टोरेज मिल सकता है जो आपकी साइट पर जाता है, बिना उनकी जानकारी के। शायद यही कारण है कि संगठनों का एक समूह वेब स्टोरेज में किसी भी जानकारी को महत्व नहीं देने या किसी भी जानकारी पर भरोसा नहीं करने की सलाह देता है। इसमें सत्र पहचानकर्ता और टोकन शामिल हैं।

तूफान के माध्यम से

किसी भी स्क्रिप्ट की आपको बाहर से आवश्यकता होती है, संभावित रूप से समझौता किया जा सकता है और अपने ग्राहक के भंडारण से किसी भी JWTS को हड़प सकता है और हमलावर के सर्वर पर व्यक्तिगत डेटा वापस भेज सकता है।

स्थानीय डिज़ाइन को जावास्क्रिप्ट द्वारा सुलभ होने के लिए डिज़ाइन किया गया है, इसलिए यह कोई XSS सुरक्षा प्रदान नहीं करता है। जैसा कि अन्य उत्तरों में उल्लेख किया गया है, XSS हमले करने के संभावित तरीकों का एक गुच्छा है, जिसमें से स्थानीयस्टोर डिफ़ॉल्ट रूप से संरक्षित नहीं है।

हालाँकि, कुकीज़ में सुरक्षा झंडे होते हैं जो XSS और CSRF हमलों से बचाते हैं। HttpOnly ध्वज क्लाइंट साइड जावास्क्रिप्ट को कुकी तक पहुंचने से रोकता है, सुरक्षित ध्वज केवल ब्राउज़र को कुकी को ssl के माध्यम से स्थानांतरित करने की अनुमति देता है, और सेमसाइट ध्वज यह सुनिश्चित करता है कि कुकी मूल में ही भेजी जाए। हालाँकि, मैंने अभी जाँच की है और सेमसाइट वर्तमान में केवल ओपेरा और क्रोम में समर्थित है, इसलिए CSRF से बचाव के लिए अन्य रणनीतियों का उपयोग करना बेहतर है। उदाहरण के लिए, किसी अन्य उपयोगकर्ता डेटा के साथ किसी अन्य कुकी में एन्क्रिप्टेड टोकन भेजना।

इसलिए प्रमाणीकरण डेटा संग्रहीत करने के लिए कुकीज़ अधिक सुरक्षित विकल्प हैं।

इसे देखने का एक तरीका जोखिम या नुकसान के स्तर पर विचार करना है।

क्या आप बिना उपयोगकर्ताओं, POC / MVP के कोई ऐप बना रहे हैं? क्या आप एक स्टार्टअप हैं जिसे बाजार में उतरने और अपने ऐप का परीक्षण करने की आवश्यकता है? यदि हां, तो मैं शायद सबसे सरल समाधान को लागू करूंगा और उत्पाद-बाजार-फिट को खोजने पर ध्यान केंद्रित करूंगा। स्थानीयस्टोरेज का उपयोग करें क्योंकि इसे लागू करने में अक्सर आसान होता है।

क्या आप कई दैनिक सक्रिय उपयोगकर्ताओं या किसी ऐसे ऐप के साथ v2 का निर्माण कर रहे हैं, जिस पर लोग / व्यवसाय बहुत अधिक निर्भर हैं। हैक होने का मतलब होगा कि वसूली के लिए बहुत कम या कोई जगह नहीं है? यदि ऐसा है, तो मैं आपकी निर्भरता पर एक लंबा नज़र डालूंगा और http-केवल कुकी में टोकन जानकारी संग्रहीत करने पर विचार करूंगा।

लोकलस्टोरेज और कुकी / सेशन स्टोरेज दोनों का उपयोग करने के अपने-अपने पेशेवरों और विपक्ष हैं।

जैसा कि पहले उत्तर में कहा गया है: यदि आपके आवेदन में XSS भेद्यता है, तो न तो आपके उपयोगकर्ता की रक्षा करेगा। चूंकि अधिकांश आधुनिक अनुप्रयोगों में एक दर्जन या अधिक विभिन्न निर्भरताएं होती हैं, इसलिए यह गारंटी देना कठिन हो जाता है कि आपके आवेदन की निर्भरता में से कोई भी XSS असुरक्षित नहीं है।

यदि आपके आवेदन में XSS भेद्यता है और एक हैकर इसका फायदा उठाने में सक्षम है, तो हैकर आपके उपयोगकर्ता की ओर से कार्रवाई कर सकेगा। हैकर लोकलस्टोरेज से टोकन प्राप्त करके GET / POST अनुरोध कर सकता है या टोकन केवल HTTP-केवल कुकी में संग्रहीत होने पर POST अनुरोध कर सकता है।

स्थानीय संग्रहण में आपके टोकन को संग्रहीत करने का एकमात्र पक्ष यह है कि हैकर आपके टोकन को पढ़ सकेगा।

न तो लोकलस्टोरीज या httpOnly कुकी स्वीकार्य है? एक समझौता किए गए तीसरे पक्ष के पुस्तकालय के संबंध में, एकमात्र समाधान जो मुझे पता है कि संवेदनशील जानकारी को चोरी होने से कम / रोक देगा, सबस्रोसिटी इंटीग्रिटी लागू किया जाएगा ।

Subresource Integrity (SRI) एक सुरक्षा सुविधा है जो ब्राउज़रों को यह सत्यापित करने में सक्षम बनाती है कि वे जो संसाधन लाते हैं (उदाहरण के लिए, एक CDN से) वे बिना किसी अप्रत्याशित हेरफेर के वितरित किए जाते हैं। यह आपको एक क्रिप्टोग्राफिक हैश प्रदान करने की अनुमति देता है जो एक भ्रूण संसाधन से मेल खाना चाहिए।

जब तक समझौता किया गया 3 पार्टी लाइब्रेरी आपकी वेबसाइट पर सक्रिय रहता है, तब तक एक keylogger उपयोगकर्ता नाम, पासवर्ड जैसी जानकारी एकत्र करना शुरू कर सकता है, और जो भी आप साइट पर इनपुट करते हैं।

HttpOnly कुकी दूसरे कंप्यूटर से एक्सेस को रोकेगी लेकिन हैकर को उपयोगकर्ता के कंप्यूटर से छेड़छाड़ करने से रोकने के लिए कुछ नहीं करेगी।

जब तक आप इसे एन्क्रिप्ट करते हैं, तब तक लोकलस्टोरेज में अपना टोकन स्टोर करना सुरक्षित होता है। नीचे एक संपीड़ित कोड स्निपेट दिखाया गया है, जिसमें से कई तरीके आप कर सकते हैं।

    import SimpleCrypto from 'simple-crypto-js';

    const saveToken = (token = '') => {
          const encryptInit = new SimpleCrypto('PRIVATE_KEY_STORED_IN_ENV_FILE');
          const encryptedToken = encryptInit.encrypt(token);

          localStorage.setItem('token', encryptedToken);
     }

फिर, अपने टोकन का उपयोग करने से पहले इसे उपयोग करके डिक्रिप्ट करें PRIVATE_KEY_STORED_IN_ENV_FILE