DOI QR코드

DOI QR Code

Study on implementation of Secure HTML5 Local Storage

안전한 HTML5 로컬스토리지 구현에 대한 연구

  • 명희원 (고려대학교 정보보호대학원) ;
  • 백정하 (고려대학교 정보보호대학원) ;
  • 이동훈 (고려대학교 정보보호대학원)
  • Received : 2012.04.29
  • Accepted : 2012.07.16
  • Published : 2012.08.31

Abstract

HTML5 has developed not to have browser dependancy considering interoperability as same as maintaining compatability with lower versions of HTML. HTML5, the newest web standardization is on going of being structured. Along with the smart phone boom, HTML5 is spotlighted because it can be applied to cross platforms in mobile web environments. Specially the local Storage that has been listed in new features in HTML5 supports offline function for web application that enables web application to be run even when the mobile is not connected to 3G or wifi. With Local storage, development of server-independent web application can be possible. However Local storage stores plaintext data in it without applying any security measure and this makes the plaintext data dangerous to security threats that are already exist in other client side storages like Cookie. In the paper we propose secure Local storage methods to offer a safe way to store and retrieve data in Local storage guaranteeing its performance. Suggested functions in this paper follow localStorage standard API and use a module that provide cryptographic function. We also prove the efficiency of suggested secure Local storage based on its performance evaluation with implementation.

HTML5는 특정 브라우저에 종속되지 않으며 상호 운용성을 고려하는 동시에 기존 HTML과도 하위 호환성을 갖도록 개발되어 현재 표준화 작업이 진행 중인 새로운 웹 표준이다. 이는 최근 스마트폰 시장의 활성화와 함께 모바일 웹 환경에서 다양한 플랫폼에 공통적으로 적용될 수 있다는 특징으로 인해 관심을 모으고 있다. 특히 HTML5에서 새롭게 추가되는 기능들 중 하나인 Local Storage는 인터넷 접속이 끊긴 상태에서도 웹 어플리케이션의 동작을 가능하게 하는 오프라인 기능을 지원하며 이는 서버와 독립적인 웹 어플리케이션 개발이 가능하게 한다. 그러나 현재 Local Storage는 평문의 데이터를 Client-side에 아무런 보안조치 없이 저장하기 때문에 쿠키와 같은 기존의 클라이언트 측 저장소가 갖는 보안 위협에 그대로 노출되어 보안상 안전하지 않다. 본 연구에서는 Local Storage에 데이터를 저장할 때 성능부하를 최소화 하면서 데이터의 안전한 저장 및 사용을 가능하게 하는 방법을 제안한다. 제안하는 방법은 기존 Local Storage 표준 API와 암호 기능을 제공하는 모듈을 이용하여 안전한 사용자 정보 저장을 지원한다. 또한 제안하는 방법을 실제 구현코드를 바탕으로 성능을 측정하여 효율성을 입증한다.

Keywords

References

  1. W3C Working Draft 'A vocabulary and associated APIs for HTML and XHTML.', May 2011.
  2. W3C Working Draft 'HTTP Specifications and Drafts.', Mar 2002.
  3. Adobe Flash Player, 'Flash Professional CS6 / Tech specs.'
  4. W3C Working Draft 'Web Storage Editor's Draft', April 2002.
  5. SANS Institute InfoSec Reading Room, 'The RIsks of Client-Side Data Storage', 2011.
  6. OWASP(The Open Web Application Security Project), 'Cross-site Scripting(XSS)', Aug 2011.
  7. Jong-Phil Yang, Kyung-Hyune Rhee 'The Design and Implementation of Improved Secure Cookies Based on Certificate', INDOCRYPT 2002, LNCS 2551, pp.314-325, 2002.
  8. Heng Wu, Weiting Chen, Zhongjie Ren 'Secure Cookies with a MAC Address Encrypted Key Ring'', IEEE Computer Science, Vol 2, pp.62-65, 2010.
  9. Alvin T.S Chan 'Mobile Cookies Management on a Smart Card', Communication of the ACM, Vol 48. No.11, page 38-43, 2005. https://doi.org/10.1145/1096000.1096002
  10. Rattinpong Putthacharoen, Pratheep Bunyatnoparat, 'Protecting Cookies from Cross Site Script Attacks Using Dynamic Cooies Rewriting Technique', ICACT 2011, pp.1090-1094, 2011.
  11. 심원태, 최요한, 서희석, 노봉남, '쿠키파일의 보안성 향상을 위한 저장 방식', 한국시뮬레이션학회 논문지, Vol 20, No 1, pp.29-37, 2011. https://doi.org/10.9709/JKSS.2011.20.1.029
  12. NetworkWorld, 'HTML5 raises new security issues', [Online]. Available : http://www.networkworld.com/news/2010/082010-html5-raises-new-security.html
  13. SEC Discover, 'Abusing HTML 5 Structured Clientside Storage', July 2008
  14. Compass Security, 'HTML5 web security', Dec 2011
  15. W3C, 'Web Storage Candidate Recommendation' , Dec 2011
  16. NIST Special Publication 800-132, 'Recommendation for Password-Based Key Derivation Part 1 : Storage Applications', Dec 2010
  17. Stanford Javascript Crypto Library, [Online]. Available : http://crypto.stanford.edu/sjcl/

Cited by

  1. An Efficient and Secure Data Storage Scheme using ECC in Cloud Computing vol.15, pp.2, 2014, https://doi.org/10.7472/jksii.2014.15.2.49
  2. 웹 로컬스토리지 데이터 보안을 위한 연구 vol.17, pp.3, 2012, https://doi.org/10.7472/jksii.2016.17.3.55