qualquer extensão de navegador lê localStorage, esse é o local menos seguro para armazenar dados.
cookies não http-only também
Respondendo a [Não disponível] dentro da publicação [Dúvida] A melhor forma de lidar com logins
1
Conteúdo excluído
0
Conteúdo excluído
1
Explica pra mim, cara
editei o comentário acima com um link da Mozilla explicando o que é um ataque XSS.
Mas basicamente você nunca deve confiar no browser da pessoa.
Essa pessoa pode usar extenções maliciosas que injetam scripts no navegador.
Se você não configurar certinho os headers do seu site esses script podem sim ler o LocalStorage, cookies que não estão marcados como HTTPOnly, qualquer input de formulários e qualquer informação presente na página.
leia este artigo para entender boas práticas de onde salvar cada coisa
e acho que você(s) estão equivocados
Entre você e na empresa que desenvolve um dos maiores navegadores eu vou confiar em quem?
Conteúdo excluído