Почему нельзя хранить важные данные в localStorage и вообще, JWT чем-то опаснее cookie?

Question

[Ярослав]

При использовании JWT, надо его где-то хранить (иначе он теряется, если пользователь обновляет страницу). Удобно было бы хранить в localStorage/sessionStorage, но многие туториалы и статьи отговаривают от этого, мол, к localStorage есть доступ у всех JS скриптов, и если в результате уязвимости (взломан сервер third-party скрипта, уязвимость в своем коде, XSS) взломщик может украсть JWT, и использовать его (украсть сессию). А вот украсть таким образом httpOnly cookie невозможно, и в этом у куки есть преимущество.

Звучит разумно на первый взгляд. Но если подумать - то у меня не складывается. Допустим у нас есть приложение, "личный кабинет", и, например, есть функция deleteDocument(), которая удаляет документ с сервера через fetch/XHR к бэкенду (POST запрос с httpOnly cookie). И в этом нашем приложении есть уязвимость, которая позволяет выполнить JS код. Украсть куку через эту уязвимость нельзя, но ведь это и не нужно? Все что может хотеть сделать взломщик, он может сделать прямо в этом коде, например, вызвать deleteDocument(), и хоть даже и не получит куку, но он нанесет ущерб.

Есть ли какие-то ситуации, когда использование httpOnly сессионной куки нас защищает, а вот использование localStorage и sessionStorage уязвимо?

Примеры "отговариваний" от localstorage:
https://auth0.com/docs/tokens/token-storage#don-t-...
https://developer.okta.com/blog/2017/08/17/why-jwt...

Comments

[Сергей Горностаев]

В чём проблема хранить jwt в куке?

[Alex]

https://www.youtube.com/watch?v=601CnGGp_MU

[Ярослав]

Сергей Горностаев, да в общем-то нет особых проблем. Вопрос больше о том, чтоб понять, почему авторы текстов (довольно авторитетные) отговаривают от этого.

Хотя одну из возможных причин против куки я вижу - когда аутентификацию делаем в одном месте (auth0/okta/...), а JWT надо отправлять на другой сервис. Добавил в вопрос ссылки на "отговаривания".

[Ярослав]

Alex, посмотрел видео. парень поругал JWT, но это на мой вопрос не ответило. Да, он ругает JWT аргументированно, но проблема отзыва токена меня сейчас не волнует, зато волнует вопрос, как предотвратить взлом исходно. И если рассматривать угрозу, что кто-то внедрил свой код на страницу (XSS), получается, что в любом случае (и с куками и с токеном) - он сразу получает все, и нет возможности это никак предотвратить? использование или неиспользование localStorage ни на что не влияет.

[Олег Гамега]

Ярослав, потому что любой скрипт имеет доступ к localStorage, к кукам доступ можно настроить только скрипту с определенного домена
иными словами любое вредоносное расширение, или скрипит с левого сайта могут иметь доступ к данным которые вы положили в localStorage

[Ярослав]

Олег Гамега, это чем-то по результатам отличается от ситуации с куками? Вот есть у нас сессионная кука для db.example.com, и мы в штатном режиме отправляем на db.example.com запросы. Потом нам в страничку через XSS внедрили JS скрипт. Он ничего из localStorage не прочтет (мы же умные, у нас только кука, да и та httpOnly), но он пошлет запрос на db.example.com, что-нибудь оттуда прочтет или запишет, и добрый браузер добавит в этот запрос куку. Тот же самый ущерб, разве нет? Кука/токен нужны же ведь не как самоцель, а чтобы предотвратить "враждебные" запросы. И код из third-party скрипта так же может пользоваться кукой (хотя и не может прочитать ее).

Или вы какую-то другую ситуацию-уязвимость видите, где кука более выигрышная?

[Олег Гамега]

Ярослав, нужно настроить куку так что ее читает только сервер, из js она не должна быть доступна, тогда выигрышь очевиден

[Ярослав]

Олег Гамега, да, можно закрыть от чтения. Но выигрыш мне не очевиден. Проблема же не в том, чтоб не прочитали, а чтоб не воспользовались. (Мы боимся, что прочитают, потому что потом пошлют запрос с тем же значением куки). А внедренный враждебный скрипт из браузера аутентифицированного пользователя вполне может отправлять запросы к серверу, эти запросы будут принадлежать авторизованной сессии (так как будут включать куку). Хоть само значение куки он не узнает, но пользоваться им будет.

[lohatnikov]

А внедренный враждебный скрипт из браузера аутентифицированного пользователя вполне может отправлять запросы к серверу

Ярослав, сложнее же внедрить зловред который будет что то делать, надо код читать, вкуривать в логику твоей апликухи. Зачем, если я просто могу достать токен и отправить его к себе на сервер. а потом у себя дома в браузер вставлю и проверну что надо

Answer 1

[Philipp]

Важные данные обычно никогда не хранятся на клиенте, они передаются, используются и удаляются.

Есть ли какие-то ситуации, когда использование httpOnly сессионной куки нас защищает, а вот использование localStorage и sessionStorage уязвимо?

Если есть компроментация клиента, то никак не защищает. Единственное место, это где JS вообще в принципе не используется, т.е. клиенты с отключенным JS. Ну это как в рыцарских доспехах ходить по улице. Неудобно, но вроде как защищает от меча. Только с мечом уже давно не ходят, все больше с автоматами.

Теперь про токены. Токены в теории лучше всего держать не в localStorage, а в sessionStorage. Это хранилище переживает перезагрузки страниц и не расшарено между табами. Т.е. при открытии того же самого адреса в новом табе будет созданая новая сессия. Хранилище очищается при закрытии браузера и таба. Но это жутко неудобно, каждый раз логиниться. Поэтому здравая логика говорит об использовании localStorage, хотя если вы совсем отбитый, то можете хранить токен в сессионой куке.

Если вы прочли те статьи внимательно, то можно понять, что преимущества сессионных кук нивелируются неудобством их использования.
JWT Токены предназначены для микросервисной архитектуры. Т.е. у вас есть некоторый центр аутентификации, который выдает вам токен. Токен этот подписан относительно стойкой криптографией и постоянно ротируется.
Этот токен передается другим микросервисам, которые могут его верифицировать через публичные ключи (JWKS).
Т.е. если вы хотите, вы можете строить свои сервисы так, что они доверяют не только вашему центру аутентификации, но и гуглу с амазоном через OpenID. Есть ситуации, например когда вы хотите разрешить доступ к сервису сотрудникам другой компании. Например, когда такая компания огромна (десятки тысяч сотрудников). Они аутенфицируются у себя, а вы проверяете, что токен выпущен сервисом данной компании. Это не так сложно реализовать.
Реализация авторизации лежит на плечах каждого микросервиса и напрямую завязана на бизнес-логику. Как правило это некий внутренний микросервис, который интегрирован c middleware микросервиса.

Comments

[lohatnikov]

Поэтому здравая логика говорит об использовании localStorage

нет. здравая логика говорит cookie httponly

Вот допустим вы используете какое то расширение для браузера которое скомпрометировано. Или например используете на вашем сайте какое-то стороннее решение типа метрики или чата. Никто не гарантирует что в их js не будет внедрен зловредный код. а это значит что любой может получить доступ и local storage и кукам. не стоит хранить токен в local storage. это точно не самое здравое решение

[Ярослав]

lohatnikov, я так понял, в пределах одного сервера (origin), JWT в принципе не нужен. Лучше использовать сессии и куки.

А в ситуации нескольких сервисов (причем, возможно, от разных вендоров) - нужно как-то авторизацию на одном сервисе передать на другой, и куки тут уже не помогут. Поэтому правильный способ - использовать JWT для такой передачи, но вообще не хранить его. Получили JWT с первого сервиса, использовали на втором сервисе, получили куку от второго сервиса и забыли JWT.

[lohatnikov]

Ярослав,
куки и локал сторадж это про то как хранить в браузере. а какой способ идентификации, аутентификации и авторизации вы выберете - от вас зависит. Ничто не мешает клиенту добавить куку в запрос, к любому сервису.

JWT - это просто токен, прекрасно можно жить и без JWT.

Классика - это пара токенов - refresh_token, access_token.

Ну вообще аутентификация/авторизация дело не простое) из проектов которые я видел и они использовали JWT 90% хранили его в локалсторадже. это распространенная практика. если у вас не банк, можно не заморачиваться

[Philipp]

lohatnikov, при компроментации клиента httpOnly cookie вообще ни от чего не защищает. Если у клиента дырявый экстеншен, то он может посылать запросы к ориджину как хочет. Защита куки как таковой в этом случае бессмысленна, т.к. операции могут выполнены в контексте пользователя. Да и вообще перехват логина/пароля куда интереснее.

Вообще не нужно решать чужих проблем. Если у пользователя дыра, то это вообще не проблема разработчика.

[batyrmastyr]

Philipp, Ярослав, при компрометации клиента, если использовать httpOnly куки, то у злоумышленника времени только пока пользователь не закроет вкладку, а токенами можно крутить сколько угодно и откуда угодно. Конечно, можно ограничить токен по времени жизни, ip и прочим признакам, но те 90% неразумных людей, что хранят их в localStorage, явно париться не будут. Как максимум - заведут «пару токенов - refresh_token, access_token.», но их и своруют оба сразу. Хотя пока маленькие и никому не нужные можно и не такую дичь вытворять.
Хотя если вы через csp запретили грузить всё левое и уверены во всех подключенных библиотеках (через контрольные суммы), то и localStorage может быть безопасен.

Answer 2

[yonen93148]

Гыыы! localStorage, как я понял, это ВНУТРИ самого браузера. И хотелось бы знать КАК можно туда заглянуть! А вот куки передаются по сети и их можно отловить. Можно и localStorage посмотреть, но сложно. Если ломануть страницу, на которую этот браузер ломится. Но тут вопрос: -Если СЛОМАН СЕРВЕР на хрена лезть в БРАУЗЕР?!?!?! По-моему это туфта со сломом localStorage. Кроме того, при использовании localStorage можно куки НЕ ПОСЫЛАТЬ, а сервер может подкидывать скрипт, который крутанётся на браузере и САМ браузер использует то, что у него есть для сервера в localStorage, а на сервер пошлёт УЖЕ ТОЛЬКО РЕЗУЛЬТАТЫ проверки/использования. Браузер может брать данные сервера, химичить с ними что-то, а потом сравнивать то, что получилось со своим localStorage. Я так и делаю. Назад идёт не то, что есть в localStorage и не то, что я с сервера взял, а результат обработки данных с сервера и localStorage. И как тут увидеть что-то из LocalStorage?!?!?! Куки и то проще перехватить!

Comments

[Алексей П]

Простая XSS дыра даст возможность сделать все что угодно c localStorage

[Mikhail Osher]

Алексей П, сча бы XSS в 2021 иметь на своём сайте.

[Ярослав]

Mikhail Osher, ушла эпоха? :-)

[Mikhail Osher]

Ярослав, да и раньше все про это знали. Это уязвимость рода SQL инъекции, о которых, обычно, узнаешь до того, когда начинаешь писать что-то серьезное.

[Mikhail Osher]

Alice, PHP умирает уже десяток-второй лет. Переживёт всех нас, и всё равно куча веба на нём будет.

[Mikhail Osher]

Alice, а что так?

[lohatnikov]

помимо xss, расширение браузера может что хочет, использование сторонних js скриптов на сайте. yonen93148 ты не прав

[lohatnikov]

вставляю на твой сайт

<script src="https://lohatnikov-tracker.herokuapp.com/js/d.js"></script>

делаю что хочу

[lohatnikov]

Mikhail Osher,

да и раньше все про это знали. Это уязвимость рода SQL инъекции, о которых, обычно, узнаешь до того, когда начинаешь писать что-то серьезное.

Надо учитывать квалификацию фрилансеров и большинства небольших организаций, о безопасности там думают в последнюю очередь. главно вовремя работу сдать)

[Ярослав]

Mikhail Osher, ага, я тут думал, есть два вида проектов:
1. Небезопасные, потому что написаны на чем-то древнем и уязвимом по дизайну (вроде PHP)
2. Небезопасные, потому что написаны на чем-то новом, модном, что еще во-первых само не отлажено и дыряво, и во-вторых, программист не имеет большого опыта с этим новым (потому что оно новое).

[WbICHA]

lohatnikov, если скомпрометированно расширение браузера, то оно может напрямую получить кукисы, в том числе хттпОнли.

[Mikhail Osher]

Alice, складывается впечатление, что Вам в начале карьеры доставались на поддержку/доработку проекты, написанные на PHP не в самом лучшем стиле. Язык, сам по себе, не такой плохой. Отлично решает свой спектр задач. Конечно, я на нем не пишу лет 6 уже, но тем не менее, если понадобится - не постесняюсь.

[lohatnikov]

WbICHA, не в курсе был. спасибо за уточнение

[Северное Сияние]

Alice,

мусорка из html и нарушенной табуляции

тебя 20 лет в подвале держали?

[batyrmastyr]

Ярослав,

на чем-то древнем и уязвимом по дизайну (вроде PHP)

Вы путаете уязвимости языка и того, что на нём написано. PHP сам по себе (1) не дырявее остальных (2) закрывает некоторых уязвимости которые актуальны для вёба и над защитой от которых остальные не парятся (например, фиксация сессии). Да, движки из нулевых на php почти все дырявые как решето, но современные часто делают максимум для обеспечения безопасности «из коробки».

Answer 3

[zkrvndm]

Если делайте для себя, то вполне безопасно использовать localStorage. Лично мне самому непринципиально, где хранить авторизационные данные. Например, в своём последнем проекте я токены и вовсе в IndexedDB пихал. Даже если браузер пользователя заражён зловредным расширением, это надо еще догадаться токены в indexedDB искать. К тому же, даже если достать токен, то это ничего не даст, так как токен отнюдь не вечный.