[フレーム]
はてなブックマークアプリ

サクサク読めて、
アプリ限定の機能も多数!

アプリで開く

気に入った記事をブックマーク

  • 気に入った記事を保存できます
    保存した記事の一覧は、はてなブックマークで確認・編集ができます
  • 記事を読んだ感想やメモを書き残せます
  • 非公開でブックマークすることもできます
適切な情報に変更

エントリーの編集

loading...

エントリーの編集は全ユーザーに共通の機能です。
必ずガイドラインを一読の上ご利用ください。

タイトルガイドライン

このページのオーナーなので以下のアクションを実行できます

タイトル、本文などの情報を
再取得することができます
コメントを非表示にできます コメント表示の設定

ブックマークしました

ここにツイート内容が記載されます https://b.hatena.ne.jp/URLはspanで囲んでください

Twitterで共有

ONにすると、次回以降このダイアログを飛ばしてTwitterに遷移します

936users がブックマーク コメント 104

ガイドラインをご確認の上、良識あるコメントにご協力ください

0 / 0
入力したタグを追加

現在プライベートモードです 設定を変更する

おすすめタグタグについて

よく使うタグ

HTML5のLocal Storageを使ってはいけない(翻訳)|TechRacho by BPS株式会社

ガイドラインをご確認の上、良識あるコメントにご協力ください

0 / 0
入力したタグを追加

現在プライベートモードです 設定を変更する

おすすめタグタグについて

よく使うタグ

はてなブックマーク

はてなブックマークで
関心をシェアしよう

みんなの興味と感想が集まることで
新しい発見や、深堀りがもっと楽しく

ユーザー登録

アカウントをお持ちの方はログインページ

記事へのコメント104

  • 注目コメント
  • 新着コメント
ockeghem
ウェブストレージに機密情報を保存しないほうが良いことは徳丸本2版P446に書いてあります(宣伝)

その他
crexist
Local Storage を使うな、というより Local Storageに機密情報を保存すな、という話だった。なお個人的には異論は無い。

その他
OkadaHiroshi
その前提だと、JavaScript でフォーム等の入力欄が読み出せるのでフォーム入力で秘密情報を入力できなくなるのではないか。外部ドメインの script src を使わないというなら理解できるが Local Storage だけ禁止は疑問。

その他
gabill
むしろ第三者のJavaScriptコードが埋め込まれるのが当然の現状が問題だと思う。特にアドネットワーク。絶えず変化するから原因究明が難しい。

その他
hiro_2005
因みにこの記事原文だとコメントで結構そんなことないぜっていう指摘が上がってるからそれも読まないとダメな気がする。

その他
mkusunok
Webプログラミングは簡単に見えて多数の地雷が埋まってるんだよね

その他
buhoho
そこまで警戒するのはパラノイアじみてないか。コードが汚染さた時点でlocalStorageどころか好き勝手できそうだけど/認証情報扱うのやめておいたほうがいいは同意

その他
trkbt10
localstorage を読み出せる状態ならすでになんでもし放題なわけだし

その他
Fushihara
いったん script srcのotherdomain.example.com に悪意あるコードが注入されたらページ自体(localstorage、indexdb)へのフルアクセスが可能になるのが問題って事か。cookieのhttpOnlyも、jsが信頼出来ないから切り捨てるって意味だし

その他
omron
外部JSが信頼できるか否かな気もする

その他
dowhile
2018年

その他
teckl
> 重要な情報を一切含まない, 極端なハイパフォーマンスを要求されない, 5 MBに収まる, stringデータだけの情報, それ以外の場合はlocal storageを使わないでください

その他
yarumato
"local storageの代わりに何を使えばいいか。cookieに押し込んでおくべきって書いてある。 重要なデータの保存にはサーバーサイドセッションを使うべき。string以外のデータはIndexedDBがベスト"

その他
daaaaaai
はい

その他
tohokuaiki
"「JWTはlocal storageに保存して認証メカニズムに使いましょう」という誤った知識を教えているチュートリアルやYouTube動画やプログラミング教室や大学やブートキャンプが何千とあります"

その他
masa8aurum
Local Storageに機密情報を保存するな、という話 / 原文だとツッコミコメントが入っているらしいので読む

その他
nilab
「秘密情報を一切含まないこと」「一般に入手可能な情報であること」「そこそこの量である(5 MBを超えない)こと」「stringのみの情報であること」「保存するアプリケーションでパフォーマンスを要求されないこと」

その他
naga_sawa
localStorageのスコープが同一オリジンか否かだけでしか区切られてないのでXSSもさることながら3rdライブラリ多用するようになった昨今では機微情報には使えないという話/制限設定できたらなぁ

その他
pmint
"...が乗っ取られて...が改変されたとします"...虚偽のセキュリティ記事によくある文で「いかがでしたか?」みたいなやつ。この記事を真に受けるか尋ねるだけで、FizzBuzzよりも実践的な面接試験になる。

その他
kitokitoki
「HTML5のLocal Storageを使ってはいけない」

その他
kiririmode
ローカルストレージはセキュアでない

その他
nijitaro
XSSされたらCookieでもだめだし、機密情報をウェブストレージに保存するなってだけの話だと思う。どうしてもSPAなどでトークンを保存する際は、保存期間を短くするのが正しいような。/色々調べた結果Cookieも進化してた。

その他
dot
せやな

その他
y-kawaz
XSS前提にするなら大抵のものはダメじゃね?

その他
hogege
φ(..)メモメモ

その他
otchy210
機密情報を保存するのは論外というのは完全同意。IndexedDB は良いんだけど localStorage との利用率シェアの差がすごいので、いずれ消えそうに見えて不安。

その他
D_first
https://dev.to/jondubois/comment/373l

その他
progrhyme
セッションや個人情報など機微情報を入れてはならない

その他
manhole
"どうかJWTなどのセッション情報をlocal storageに保存しないでください"

その他
ka-ka_xyz
ところでfirebaseさん https://firebase.google.com/docs/firestore/manage-data/enable-offline?hl=ja

その他
ku__ra__ge
TL;DR cookieを適切に使え。cookieにはHttpOnlyをはじめとしてセッション情報を扱うことを前提にしたセキュリティ確保のための属性が存在するが、localStrageは完全にただの保管庫でしかない。

その他
yamadar
localStorageは便利に使ってたけど取り除いたことあったなぁ

その他
korin
難しいなあ。「Web Storageは多くの場合、有用でセキュアなcookieの代替品になる」ということを論じている記事( https://postd.cc/web-storage-the-lesser-evil-for-session-tokens/ )と読み比べ誰か教えてほしい。時期によるSameSite=strictの有無?

その他
eagleyama
セキュリティないから、というひとことであわってしまう記事かな

その他
sigwyg
意訳:サードバーティ製JavaScript(Adネットワークなど)が何やってるかわからんから、Local Storage(Session Storageも)に機密情報を入れるな。JWTとかもってのほか。

その他
stk132
"local storageはあらゆるJavaScriptコードから自由にアクセスできてしまいます" アドテク企業は「それがいいんじゃないか」って思ってそう

その他
kfujii
CDNが汚染されてたら、っていう前提だと大抵のものがダメなのでは、という気が。

その他
z1h4784
直接他人のLocalStorageを読み取るのは難しいとしても、自分のものに何が保存されているかを見ることで攻撃のヒントが得られる。平文で保存されるのが嫌でほとんど使わない

その他
yutaro1985
当たり前のことだと思いますけど、リスクとデメリットを理解した上で使わないと怖いですよ、という話ですかね。

その他
infobloga
これはsts, cognitoやfirebase含む分散認証アーキテクチャの全否定。メリットがないとは言わないが、攻撃をしづらくするだけで本質的対策にはならないのに、失うものが大きすぎると思う。

その他

注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

リンクを埋め込む

以下のコードをコピーしてサイトに埋め込むことができます

プレビュー
アプリのスクリーンショット
いまの話題をアプリでチェック!
  • バナー広告なし
  • ミュート機能あり
  • ダークモード搭載
アプリをダウンロード

関連記事

usersに達しました!

さんが1番目にブックマークした記事「HTML5のLocal Stor...」が注目されています。

気持ちをシェアしよう

ツイートする

HTML5のLocal Storageを使ってはいけない(翻訳)|TechRacho by BPS株式会社

概要 原著者の許諾を得て翻訳・公開いたします。 英語記事: Randall Degges - Please Stop Using Local ... 概要 原著者の許諾を得て翻訳・公開いたします。 英語記事: Randall Degges - Please Stop Using Local Storage 原文公開日: 2018年01月26日 著者: Randall Degges 日語タイトルは内容に即したものにしました。 画像は元記事からの引用です。 初版公開: 2019年10月19日 追記更新: 2024年04月05日 -- リンク情報を記事末尾に移動しました 気で申し上げます。local storageを使わないでください。 local storageにセッション情報を保存する開発者がこれほど多い理由について、私にはさっぱり見当がつきません。しかしどんな理由であれ、その手法は地上から消えてなくなってもらう必要がありますが、明らかに手に負えなくなりつつあります。 私は毎日のように、重要なユーザー情報をlocal storageに保存す

ブックマークしたユーザー

  • tada01212025年09月29日 tada0121
  • funghi_seven2025年06月03日 funghi_seven
  • dowhile2025年03月08日 dowhile
  • taichi6962024年06月10日 taichi696
  • donotthinkfeel2024年03月03日 donotthinkfeel
  • youko032023年10月29日 youko03
  • sanata01302023年08月26日 sanata0130
  • tyosuke20112023年06月30日 tyosuke2011
  • techtech05212023年05月17日 techtech0521
  • lugecy2023年04月09日 lugecy
  • maasayan2023年03月14日 maasayan
  • e24ns2023年03月02日 e24ns
  • msh5142022年09月20日 msh514
  • programmablekinoko2022年08月08日 programmablekinoko
  • teckl2022年06月29日 teckl
  • soreso2022年06月16日 soreso
  • blono2022年05月07日 blono
  • yarumato2022年04月10日 yarumato
すべてのユーザーの
詳細を表示します

ブックマークしたすべてのユーザー

同じサイトの新着

同じサイトの新着をもっと読む

いま人気の記事

いま人気の記事をもっと読む

いま人気の記事 - テクノロジー

いま人気の記事 - テクノロジーをもっと読む

新着記事 - テクノロジー

新着記事 - テクノロジーをもっと読む

同時期にブックマークされた記事

いま人気の記事 - 企業メディア

企業メディアをもっと読む

はてなブックマーク

公式Twitter

はてなのサービス

Copyright © 2005-2025 Hatena. All Rights Reserved.
設定を変更しましたx

AltStyle によって変換されたページ (->オリジナル) /