javascript - 保护网络应用程序免受信息泄露

Question

可以(或不能)做什么来防止 Web 应用程序中的信息泄露？

更具体地说，假设我们已合理保护服务器、传输和客户端主机(台式机/平板电脑/手机)。可以在客户端针对 f.ex 做什么。一个malicious -- 或 broken -- 浏览器扩展或浏览器环境中的其他威胁本身，以防止敏感数据从应用程序中泄漏？

假设我们正在开发一个应用程序来存储一些敏感的细节，这可能会激发一些定向但轻微的攻击，或者至少足以为市场上发现的漏洞定价。我们不是在谈论对核武器敏感的发射代码，但可能会使小公司破产。

所以一些子问题来设置舞台:

• 是否有可能阻止或至少检测浏览器扩展从呈现的 DOM 复制信息并将其存储/发送到其他地方？
• 这是否有助于最大程度地减少 DOM 中保留的时间敏感数据？也就是说，我们是否应该尝试确保丢弃导航状态并收集垃圾？
• 强制用户“安装”应用程序是否更好。 (固定网站，添加到主屏幕等)。多少？我们能否检测不同的上下文并警告用户？
• HTTPOnly 和 session cookie 与 sessionStorage/localStorage 中的 JWT，它甚至是一个选择吗？
• 我们可以在 sessionStorage 或 localStorage 中保护什么。我们可以吗？我们应该吗？怎么样？

编辑: - 如果试图保护默认浏览环境是死路一条。如何创建安全的浏览环境？私有(private)模式，这个可以收藏吗？使用应用程序启动浏览器的特殊命令行参数。是否可以检测到他们的缺席以显示警告？您也会在移动设备上这样做吗？

Answer 1

What can be done at the client side against f.ex. a malicious -- or broken -- browser extension

很少。浏览器扩展代码作为您所运行平台的一部分运行，权限级别高于您。无法从该级别的妥协中恢复。

您所能做的就是嗅探已知的不良扩展，这些扩展会更改您可以从页面脚本中检测到的浏览器环境，如果存在则拒绝运行。

例如，对于提到的广告软件扩展，您可以检查页面文本中是否有意外插入的链接，或枚举 <script>页面 DOM 中的元素不好 src值。或者对于一些例如。 Chrome 扩展程序可能包含您可以嗅探的网络可访问成员。

但这对以下情况无效:

• 您没有明确编码的扩展，或者
• 任何随后更新以解决您的嗅探问题，或
• 任何为避免脚本可见而编码的内容。

因此，除非您心中有一个特定的对手，否则不太值得。

Is it possible to prevent, or at least detect, a browser extension copying information from the rendered DOM and store/send it somewhere else?

来自网络脚本，没有。

Will it help to minimize the time sensitive data stays in the DOM?

不太可能。任何专门针对您的内容都可以在机会时刻获取数据；任何不针对您的东西(例如通用键盘记录器)可能不会在 DOM 中查找。

Is it better to force the user to "install" the app. (Pinned sites, add to home screen and such).

目前还不清楚这会有什么帮助；您的环境仍然会受到损害。

SSLOnly session cookie vs JWT in sessionStorage/localStorage

扩展代码可以访问两者，并且无论如何都可以在 session 的上下文中执行代码，因此没有区别。