রিট্যাক্টসের সাহায্যে স্থানীয় স্টোরারেজেডব্লিউটি সংরক্ষণ করা কি নিরাপদ?

আমি বর্তমানে রিএ্যাকটিজ ব্যবহার করে একটি একক পৃষ্ঠার অ্যাপ্লিকেশন তৈরি করছি। আমি পড়েছি লোকালস্টোরেজ ব্যবহার না করার অনেক কারণ এক্সএসএস দুর্বলতার কারণে। যেহেতু প্রতিক্রিয়া সমস্ত ব্যবহারকারীর ইনপুট থেকে দূরে চলেছে, এখন লোকালস্টোরেশন ব্যবহার করা কি নিরাপদ হবে?

আধুনিক একক পৃষ্ঠার অ্যাপ্লিকেশনগুলির বেশিরভাগ ক্ষেত্রে, আমাদের অবশ্যই টোকেনটি ক্লায়েন্টের পাশে কোথাও সংরক্ষণ করতে হবে (সর্বাধিক সাধারণ ব্যবহারের ক্ষেত্রে - ব্যবহারকারীকে একটি পৃষ্ঠা রিফ্রেশ করার পরে লগইন রাখতে)।

মোট দুটি বিকল্প উপলব্ধ রয়েছে: ওয়েব স্টোরেজ (সেশন স্টোরেজ, স্থানীয় স্টোরেজ) এবং একটি ক্লায়েন্টের সাইড কুকি। উভয় বিকল্প ব্যাপকভাবে ব্যবহৃত হয়, তবে এর অর্থ এই নয় যে তারা খুব সুরক্ষিত।

টম অ্যাবট জেডাব্লুটি টি সেশন স্টোরেজ এবং লোকালস্টোরেজ সুরক্ষা সম্পর্কে ভালভাবে সংক্ষিপ্তসার জানিয়েছে :

ওয়েব স্টোরেজ (লোকালস্টোরেজ / সেশনস স্টোরেজ) একই ডোমেনে জাভাস্ক্রিপ্টের মাধ্যমে অ্যাক্সেসযোগ্য। এর অর্থ হল যে আপনার সাইটে চলমান যে কোনও জাভাস্ক্রিপ্টের ওয়েব স্টোরেজে অ্যাক্সেস থাকবে এবং এর কারণে ক্রস-সাইট স্ক্রিপ্টিং (এক্সএসএস) আক্রমণে ঝুঁকিপূর্ণ হতে পারে । সংক্ষেপে, এক্সএসএস হ'ল ধরণের দুর্বলতা যেখানে কোনও আক্রমণকারী জাভাস্ক্রিপ্ট ইনজেক্ট করতে পারে যা আপনার পৃষ্ঠায় চলবে। বেসিক এক্সএসএস আক্রমণগুলি ফর্ম ইনপুটগুলির মাধ্যমে জাভাস্ক্রিপ্ট ইনজেক্ট করার চেষ্টা করে, যেখানে আক্রমণকারী <script>alert('You are Hacked');</script>একটি ব্রাউজার দ্বারা চালিত হয় কিনা তা দেখার জন্য একটি ফর্ম রাখে এবং অন্যান্য ব্যবহারকারীরা এটি দেখতে পারবেন।

এক্সএসএস প্রতিরোধের জন্য, সাধারণ প্রতিক্রিয়া হ'ল সমস্ত অবিশ্বস্ত ডেটা এড়ানো এবং এনকোড করা। প্রতিক্রিয়া (বেশিরভাগ) আপনার জন্য তা করে! এক্সএসএস দুর্বলতা সুরক্ষা কতটা দায়বদ্ধ তা নিয়ে এখানে একটি দুর্দান্ত আলোচনা ।

কিন্তু এটি সমস্ত সম্ভাব্য দুর্বলতাগুলি কভার করে না! আর একটি সম্ভাব্য হুমকি হ'ল সিডিএন বা বাইরের অবকাঠামোতে হোস্ট করা জাভাস্ক্রিপ্টের ব্যবহার ।

টম আবার এখানে:

আধুনিক ওয়েব অ্যাপ্লিকেশনগুলিতে এ / বি পরীক্ষার জন্য তৃতীয় পক্ষের জাভাস্ক্রিপ্ট লাইব্রেরি, ফানেল / বাজার বিশ্লেষণ এবং বিজ্ঞাপনগুলি অন্তর্ভুক্ত রয়েছে। আমরা আমাদের অ্যাপ্লিকেশনগুলিতে অন্যান্য লোকের কোড আমদানি করতে বোভারের মতো প্যাকেজ পরিচালকদের ব্যবহার করি।

আপনার ব্যবহৃত স্ক্রিপ্টগুলির মধ্যে একটির মধ্যে যদি আপত্তি হয় তবে কী হবে? ক্ষতিকারক জাভাস্ক্রিপ্ট পৃষ্ঠাটিতে এম্বেড করা যেতে পারে এবং ওয়েব স্টোরেজ আপোষযুক্ত। এই ধরণের এক্সএসএস আক্রমণগুলি তাদের অজান্তেই আপনার ওয়েবসাইট পরিদর্শনকারী প্রত্যেকের ওয়েব স্টোরেজ পেতে পারে। সম্ভবত এই কারণেই সংস্থাগুলির একগুচ্ছ ওয়েব স্টোরেজে কোনও মূল্যবোধ সঞ্চয় করতে বা কোনও তথ্যতে বিশ্বাস না করার পরামর্শ দেয়। এর মধ্যে সেশন শনাক্তকারী এবং টোকেন অন্তর্ভুক্ত রয়েছে।

সুতরাং, আমার উপসংহারটি হ'ল স্টোরেজ মেকানিজম হিসাবে, ওয়েব স্টোরেজ স্থানান্তরকালে কোনও সুরক্ষিত মান প্রয়োগ করে না । যে কেউ ওয়েব স্টোরেজ পড়েন এবং এটি ব্যবহার করেন তাদের অবশ্যই যথাযথ পরিশ্রম করতে হবে তা নিশ্চিত করার জন্য যে তারা সর্বদা এইচটিটিপিএসের মাধ্যমে জেডব্লিউটি প্রেরণ করে এবং কখনও এইচটিটিপিতে নয়।

আমি জানি এটি একটি পুরানো প্রশ্ন তবে @ মাইকেজোনস 1477 যা বলেছে, আধুনিক ফ্রন্ট এন্ড লাইব্রেরি এবং ফ্রেমওয়ার্কগুলি আপনাকে এক্সএসএসের বিরুদ্ধে সুরক্ষা দেওয়ার পাঠ্য থেকে দূরে রয়েছে। শংসাপত্রগুলি ব্যবহার করে কুকিজগুলি নিরাপদ পদ্ধতি না হওয়ার কারণ হ'ল লোকাল স্টোরেজ যখন কুকিগুলি সিএসআরএফকে বাধা দেয় না (এছাড়াও মনে রাখবেন যে কুকিজ জাভাস্ক্রিপ্ট দ্বারাও অ্যাক্সেসযোগ্য, সুতরাং এক্সএসএস এখানে বড় সমস্যা নয়), এই উত্তরটি কেন আবার শুরু হয় ।

স্থানীয় স্টোরেজে কোনও প্রমাণীকরণ টোকেন সংরক্ষণ এবং ম্যানুয়ালি এটিকে প্রতিটি অনুরোধে সিএসআরএফ থেকে রক্ষা করার কারণটি মূল শব্দ: ম্যানুয়াল। যেহেতু ব্রাউজারটি স্বয়ংক্রিয়ভাবে সেই লেখক টোকেনটি প্রেরণ করছে না, যদি আমি খারাপ ডট কম দেখি এবং এটি কোনও পোষ্ট http://example.com/delete-my-account প্রেরণ পরিচালনা করে তবে এটি আমার লেখক টোকেনটি প্রেরণ করতে সক্ষম হবে না, তাই অনুরোধ উপেক্ষা করা হয়।

অবশ্যই http কেবলমাত্র পবিত্র গ্রিল তবে আপনি রিএ্যাকটিজ বা আপনার পাশের কোনও জেএস ফ্রেমওয়ার্ক থেকে অ্যাক্সেস করতে পারবেন না এখনও সিএসআরএফ দুর্বলতা রয়েছে। আমার প্রস্তাবটি লোকাল স্টোরেজ হবে বা আপনি যদি কুকিজ ব্যবহার করতে চান তবে নিশ্চিত করুন যে সিএসআরএফ সমস্যার কিছু সমাধান কার্যকর করা উচিত যেমন জ্যাঞ্জোর মতো ।

সিডিএন এর সাথে সুনিশ্চিত করে আপনি কিছু অদ্ভুত সিডিএন ব্যবহার করছেন না, উদাহরণস্বরূপ গুগল বা বুটস্ট্র্যাপের মতো সিডিএন সম্প্রদায় দ্বারা রক্ষণাবেক্ষণ করা হয় এবং এতে দূষিত কোড নেই, যদি আপনি নিশ্চিত না হন তবে আপনি পর্যালোচনা করতে পারবেন না।

মূলত এটি আপনার স্থানীয় স্টোরেজে আপনার জেডাব্লুটিটি সংরক্ষণ করা ঠিক আছে।

এবং আমি মনে করি এটি একটি ভাল উপায়। যদি আমরা সিডিএন ব্যবহার করে এক্সএসএস, এক্সএসএস সম্পর্কে কথা বলি তবে এটি আপনার ক্লায়েন্টের লগইন / পাস করার সম্ভাব্য ঝুঁকিও। স্থানীয় স্টোরেজে ডেটা সঞ্চয় করা সিএসআরএফের আক্রমণগুলি কমপক্ষে প্রতিরোধ করবে।

আপনার উভয়ের সম্পর্কে সচেতন হওয়া এবং আপনি যা চান তা চয়ন করা উচিত। উভয় আক্রমণই আপনার সচেতন হওয়া দরকার এমন নয়, কেবল মনে রাখবেন: আপনার অ্যাপ্লিকেশনটির সর্বশেষ সুরক্ষার পয়েন্ট হিসাবে আপনার সম্পূর্ণ অ্যাপ্লিকেশন কেবলমাত্র নিরাপদ হিসাবে রয়েছে।

আবারও সংরক্ষণ করা ঠিক আছে, এক্সএসএস, সিএসআরএফ, এর পক্ষে ঝুঁকির মধ্যে পড়ুন ... নয়

আপনি সিডিএন ব্যবহার করলে এটি নিরাপদ নয়:

ক্ষতিকারক জাভাস্ক্রিপ্ট পৃষ্ঠাটিতে এম্বেড করা যেতে পারে এবং ওয়েব স্টোরেজ আপোষযুক্ত। এই ধরণের এক্সএসএস আক্রমণগুলি তাদের অজান্তেই আপনার ওয়েবসাইট পরিদর্শনকারী প্রত্যেকের ওয়েব স্টোরেজ পেতে পারে। সম্ভবত এই কারণেই সংস্থাগুলির একগুচ্ছ ওয়েব স্টোরেজে কোনও মূল্যবোধ সঞ্চয় করতে বা কোনও তথ্যতে বিশ্বাস না করার পরামর্শ দেয়। এর মধ্যে সেশন শনাক্তকারী এবং টোকেন অন্তর্ভুক্ত রয়েছে।

ঝড়ের মধ্য দিয়ে

বাইরে থেকে আপনার যে কোনও স্ক্রিপ্টের প্রয়োজন হবে তা সম্ভাব্যভাবে আপস হতে পারে এবং আপনার ক্লায়েন্টের স্টোরেজ থেকে কোনও জেডব্লিউটিএস দখল করতে পারে এবং আক্রমণকারীর সার্ভারে ব্যক্তিগত ডেটা ফেরত পাঠাতে পারে।

লোকালস্টোরেজগুলি জাভাস্ক্রিপ্ট দ্বারা অ্যাক্সেসযোগ্য হওয়ার জন্য ডিজাইন করা হয়েছে, সুতরাং এটি কোনও এক্সএসএস সুরক্ষা সরবরাহ করে না। অন্যান্য উত্তরে উল্লিখিত হিসাবে, এক্সএসএস আক্রমণ করার সম্ভাব্য কয়েকটি উপায় রয়েছে যা থেকে লোকালস্টোরগুলি ডিফল্টরূপে সুরক্ষিত হয় না।

তবে কুকিজের সুরক্ষা পতাকা রয়েছে যা এক্সএসএস এবং সিএসআরএফ আক্রমণ থেকে রক্ষা করে। এইচটিটিপি কেবল পতাকা ক্লায়েন্টের সাইড জাভাস্ক্রিপ্টকে কুকি অ্যাক্সেস করা থেকে বাধা দেয়, সিকিউর ফ্ল্যাগ ব্রাউজারকে কেবল এসএসএল এর মাধ্যমে কুকি স্থানান্তর করতে দেয় এবং সেমসাইট ফ্ল্যাগটি নিশ্চিত করে যে কুকি কেবলমাত্র উত্সকে প্রেরণ করা হয়েছে। যদিও আমি সবেমাত্র পরীক্ষা করেছি এবং সেমসাইটটি বর্তমানে কেবল অপেরা এবং ক্রোমে সমর্থিত তাই সিএসআরএফ থেকে সুরক্ষার জন্য অন্যান্য কৌশলগুলি ব্যবহার করা আরও ভাল। উদাহরণস্বরূপ, কিছু জনসাধারণের ব্যবহারকারীর ডেটা সহ অন্য কুকিতে একটি এনক্রিপ্ট করা টোকেন প্রেরণ।

সুতরাং কুকিগুলি প্রমাণীকরণের ডেটা সংরক্ষণের জন্য আরও সুরক্ষিত পছন্দ।

এটি দেখার একটি উপায় হ'ল ঝুঁকি বা ক্ষতির স্তর বিবেচনা করা।

আপনি কি কোনও ব্যবহারকারী, পোক / এমভিপি নিয়ে একটি অ্যাপ তৈরি করছেন? আপনি কি এমন একটি স্টার্টআপ যাঁকে দ্রুত বাজারে যেতে এবং আপনার অ্যাপ্লিকেশনটি দ্রুত পরীক্ষা করা দরকার? যদি হ্যাঁ, আমি সম্ভবত কেবলমাত্র সহজ সমাধানটি বাস্তবায়ন করব এবং পণ্য-বাজার-ফিট সন্ধানে ফোকাস বজায় রাখতে পারি। এটি প্রয়োগ করা প্রায়শই সহজ হিসাবে লোকালস্টোরেশন ব্যবহার করুন।

আপনি কি অনেক দৈনিক সক্রিয় ব্যবহারকারী বা এমন অ্যাপ্লিকেশন সহ একটি অ্যাপ্লিকেশনটির ভি 2 তৈরি করছেন যা লোক / ব্যবসায় প্রচুরভাবে নির্ভরশীল? হ্যাক করা মানে কি পুনরুদ্ধারের জন্য সামান্য বা কোনও জায়গা নেই? যদি তা হয় তবে আমি আপনার নির্ভরতাগুলিতে দীর্ঘক্ষণ নজর রাখব এবং কেবলমাত্র একটি HTTP- র কুকিতে টোকেন তথ্য সংরক্ষণ করার বিষয়টি বিবেচনা করব।

লোকালস্টোরেজ এবং কুকি / সেশন স্টোরেজ উভয়ের ব্যবহারের নিজস্ব উপকারিতা এবং কনস রয়েছে।

যেমন প্রথম উত্তরে বলা হয়েছে: আপনার অ্যাপ্লিকেশনটিতে যদি একটি এক্সএসএস দুর্বলতা থাকে তবে আপনার ব্যবহারকারীকে উভয়ই রক্ষা করতে পারে না। যেহেতু বেশিরভাগ আধুনিক অ্যাপ্লিকেশনগুলির এক ডজন বা আরও বেশি নির্ভরশীলতা রয়েছে তাই আপনার আবেদনের একটি নির্ভরতা এক্সএসএস ঝুঁকিপূর্ণ নয় এমন গ্যারান্টি দেওয়া ক্রমশ কঠিন হয়ে পড়েছে।

আপনার অ্যাপ্লিকেশনটিতে যদি কোনও এক্সএসএস দুর্বলতা থাকে এবং কোনও হ্যাকার এটি কাজে লাগাতে সক্ষম হয়, তবে হ্যাকার আপনার ব্যবহারকারীর পক্ষে ক্রিয়া সম্পাদন করতে সক্ষম হবেন। হ্যাকার লোকালস্টোরেজ থেকে টোকেন পুনরুদ্ধার করে জিইটি / পোষ্ট অনুরোধগুলি সম্পাদন করতে পারে বা টোকন কেবলমাত্র এইচপি-তে কেবল কুকিতে সঞ্চিত থাকলে পোষ্ট অনুরোধগুলি সম্পাদন করতে পারে।

স্থানীয় স্টোরেজে আপনার টোকেন সংরক্ষণ করার একমাত্র ডাউন-সাইড হ্যাকার হ'ল আপনার টোকেনটি পড়তে সক্ষম হবে।

লোকালস্টোরেজ বা HTTP কেবল কুকিই গ্রহণযোগ্য নয়? আপোষযুক্ত তৃতীয় পক্ষের লাইব্রেরির ক্ষেত্রে, আমি কেবলমাত্র তার সমাধান জানি যে সংবেদনশীল তথ্যগুলি চুরি হওয়া থেকে হ্রাস / প্রতিরোধ করবে তা হ'ল সাব্রোসোর্স ইন্টিগ্রিটি প্রয়োগ করা হবে ।

সাবসোর্স ইন্টিগ্রিটি (এসআরআই) হ'ল একটি সুরক্ষা বৈশিষ্ট্য যা ব্রাউজারগুলি যাচাই করা সংস্থানগুলি যাচাই করতে সক্ষম করে (উদাহরণস্বরূপ, সিডিএন থেকে) অপ্রত্যাশিত কারসাজি ছাড়াই সরবরাহ করা হয়। এটি আপনাকে একটি ক্রিপ্টোগ্রাফিক হ্যাশ সরবরাহ করার অনুমতি দিয়ে কাজ করে যা একটি ফিচার রিসোর্সের সাথে মিলে যায়।

আপোষযুক্ত তৃতীয় পক্ষের লাইব্রেরি যতক্ষণ না আপনার ওয়েবসাইটটিতে সক্রিয় রয়েছে, কোনও কীলগার হ'ল ইউজারনেম, পাসওয়ার্ড এবং আপনার সাইটের যেকোনো কিছু ইনপুট জাতীয় তথ্য সংগ্রহ করা শুরু করতে পারে।

একটি HTTP কেবল কুকি অন্য কম্পিউটার থেকে অ্যাক্সেস রোধ করবে তবে হ্যাকারকে ব্যবহারকারীর কম্পিউটারে কৌশল থেকে রক্ষা করতে কিছুই করবে না।

আপনার টোকেন যতক্ষণ না আপনি এটিকে এনক্রিপ্ট করেন ততক্ষণ স্থানীয় স্টোরেজে সংরক্ষণ করা নিরাপদ। নীচে একটি সংক্ষেপিত কোড স্নিপেট রয়েছে যা আপনি এটি করতে পারেন এমন অনেক উপায়ে।

    import SimpleCrypto from 'simple-crypto-js';

    const saveToken = (token = '') => {
          const encryptInit = new SimpleCrypto('PRIVATE_KEY_STORED_IN_ENV_FILE');
          const encryptedToken = encryptInit.encrypt(token);

          localStorage.setItem('token', encryptedToken);
     }

তারপরে, আপনার টোকেনটি ব্যবহার করার আগে ডিক্রিপ্ট ব্যবহার করুন PRIVATE_KEY_STORED_IN_ENV_FILE