<html><head><meta http-equiv="content-type" content="text/html; charset=utf-8"></head><body dir="auto"><div>Hey Eoin, </div><div><br></div><div>Not a certificate store, rather using it to store session id's that I would otherwise/traditionally  transmit as a cookie. <br><br>Basically if site is immune from XSS, would HTML5 local storage be a good place to store your session cookies in. </div><div><br></div><div>Reading between the lines it appears to have benefits listed below (always assuming site is XSS immune)</div><div><br></div><div><br>Sent from my iPhone</div><div><br>On 5 Dec 2013, at 10:08, Eoin <<a href="mailto:eoin.keary@owasp.org">eoin.keary@owasp.org</a>> wrote:<br><br></div><blockquote type="cite"><div><div dir="ltr"><div>Would a weak browser (IE6) infected with Malware be an issue here?</div><div>Certificate stores / Keystores have passwords etc but local storage does not.</div><div><br></div></div><div class="gmail_extra">
<br><br><div class="gmail_quote">On 5 December 2013 10:06, Eoin <span dir="ltr"><<a href="mailto:eoin.keary@owasp.org" target="_blank">eoin.keary@owasp.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div dir="ltr"><div>Hi Chris,</div><div>What your saying is using local storage as a "certificate store" sorta affair? Like a keystore for auth/authz when using an app?</div><div><br></div></div><div class="gmail_extra">
<div><div class="h5">
<br><br><div class="gmail_quote">On 5 December 2013 09:56, Christian Papathanasiou <span dir="ltr"><<a href="mailto:christian.papathanasiou@owasp.org" target="_blank">christian.papathanasiou@owasp.org</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;padding-left:1ex;border-left-color:rgb(204,204,204);border-left-width:1px;border-left-style:solid">Hi everyone,<br>
<br>
Assuming a domain does all the right stuff regarding XSS protection (white listing, output encoding, CSP etc etc) could HTML 5 local storage perhaps be a very interesting candidate for storing session cookies and performing authentication/authorization?<br>


<br>
Reading between the lines the following key benefits stood out for me:<br>
<br>
Local storage token/cookie not transmitted over  the wire hence minimising opportunity of cookie theft from sniffing<br>
<br>
Same origin policy means that local storage cookie will be protected/relatively kimmune from CSRF attacks and hence no additional effort required to CSRF tokenize forms etc.<br>
<br>
Of course, if your site has XSS then local storage cookies can be siphoned off or even injected but assuming for the time being that the site is immune to XSS and hence the lack of http only doesn't really matter and everything going over SSL by default (hence secure flag doesn't really matter) would the above benefits hold true?<br>


<br>
Of course the user can mangle the local storage token/cookie but that would  in effect not really be different to doing the same with burp proxy etc as long as token/cookie is sufficiently random complex etc and unable to infer other peoples session tokens for horizontal or vertical priv esc.<br>


<br>
Am I missing something fundamental  from a security perspective here? :-)<br>
<br>
Finally are there any local storage authentication/authorization frameworks out there?<br>
<br>
Many thanks & kind regards,<br>
Christian Papathanasiou.<br>
<br>
<br>
_______________________________________________<br>
OWASP-Leaders mailing list<br>
<a href="mailto:OWASP-Leaders@lists.owasp.org" target="_blank">OWASP-Leaders@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
</blockquote></div><br><br clear="all"><br></div></div><span class="HOEnZb"><font color="#888888">-- <br>Eoin Keary<br>OWASP Member<br><a href="https://twitter.com/EoinKeary" target="_blank">https://twitter.com/EoinKeary</a><div>
<br></div>
</font></span></div>
</blockquote></div><br><br clear="all"><br>-- <br>Eoin Keary<br>OWASP Member<br><a href="https://twitter.com/EoinKeary" target="_blank">https://twitter.com/EoinKeary</a><div><br></div>
</div>
</div></blockquote></body></html>