(ちなみに、ローカル ストレージではなく、アプリケーション キャッシュ/マニフェストについて言及しています。)
特定のユーザーだけがアプリケーション キャッシュを使用できるようにしたいとします。彼らが私のウェブサイトにログインすると、権限に応じて、サイトはブラウザーにマニフェストを取得するように指示します。ゲストおよび権限のないゲストには、マニフェストへのアクセス権が付与されません。
これを回避するために、悪意のあるユーザーは、別のユーザーのブラウザー データ フォルダーからアプリケーション キャッシュ ファイルをコピーするか、マニフェスト ファイルを直接ダウンロードする可能性があります。
これが起こらないようにする方法はありますか?組み込みのメカニズムはありますか?
これを回避するために、悪意のあるユーザーが別のユーザーのブラウザー データ フォルダーからアプリケーション キャッシュ ファイルをコピーする可能性があります...
マシンに物理的にアクセスできる場合、またはマシンが深刻な状態にある場合のみ。しかし、この種の攻撃に対する保護はありません。現在のブラウザは、アプリケーション キャッシュを特定のドメインに十分に分離する必要があります。クロスドメイン アクセスは許可されません。
... またはマニフェスト ファイルを直接ダウンロードします。
サーバー側にアクセスできる場合は、ユーザーのログイン時にマニフェストを自動生成できます。このように、すべてのマニフェストはユーザーに固有であり、サイトへの適切な権限を持たない人のために直接ダウンロードされるマニフェストは存在しません。
...組み込みのメカニズムはありますか?
applicationCache には組み込みのセキュリティ メカニズムはありません。私はオフライン アプリでこれを検討しましたが、私が見た唯一のセキュリティ対策は、キャッシュされたファイルの暗号化です。クライアント側の暗号化は理想的とは言えませんが、キャッシュされたファイルのコンテンツを暗号化し、アプリケーション/ページの起動時にそれらを復号化するためのキーを要求することができます. 前回これを調査したとき、数人のスタンフォード大学の学生による JS 暗号化ライブラリが最高でした。