Security w aplikacji internetowej

Piszę sobie apkę, którą chciałbym nieco bardziej rozpowszechnić, jednak ciągle nie daje mi spać kwestia bezpieczeństwa i danych osobowych.

1. RODO, administrator danych osobowych, itp. Czy to mnie dotyczy, jeżeli tak to w jakim stopniu? Aplikacja wymaga logowania, jest opcja logowania przez email + hasło, Google i Facebooka. Wymagam też by użytkownik ustawił sobię jakąś wyświetlaną nazwę, coś co zobaczą też inni użytkownicy. Całość jest zaopiekowana przez Firebase, frontend komunikuje się z Firebase by dostać token, który wysyłany jest na backend gdzie go waliduje za pomocą Firebase. Nie trzymam więc w swojej aplikacji danych osobowych, w bazie zapisuje jedynie ID użytkownika, w API wysyłam też nazwę wyświetlaną użytkownika i tyle.
2. Komunikacja backend - frontend - czy warto iść w ciastka httpOnly w których przechowywany będzie token? Czy trzymanie tokenu w localStorage przeglądarki jest w zupełności wystarczające dla aplikacji która ma do czynienia z danymi osobowymi, tyle ile opisałem w punkcie 1?
3. Co z długo aktywnymi tokenami? Chciałbym by użytkownik nie musiał się często logować, gdy np. korzysta z aplikacji raz na tydzień. Są jakieś przeciwwskazania by token był ważny np. 7 dni + był odświeżany przy każdym zapytaniu http do usługi? Nawiązując do punktu 2, czy fakt że token jest w ciastku httpOnly albo w localStorage, ma się jakoś do tego jak długo powinien być ważny?
4. Firebase wymaga by klucze trzymać po stronie klienta w JSie, czyli każdy może je odczytać. Czy to faktycznie bezpieczne?

1. Jeśli jacyś ludzie pozostawiają swoje prywatne dane w Twojej aplikacji to Rodo niestety też dotyczy i Ciebie. Wystarczy w tym opisana dobrze polityka prywatności, jakie dane, dlaczego zbierane, w jakim zakresie przetwarzane oraz przez kogo. A także jakie prawna mają ludzie w związku z udzielaniem tych danych. Wzorów jest masa w sieci. Rodo zawsze dotyczy każdego, jak posiada dane - personalizujące osoby.
2. To jest twój własny wybór i droga. Można stosować ciastko w przeglądarce - jeśli to aplikacja na przeglądarkę, można i u siebie.
3. Od stronny prawnej nie - to wynika z RODO co tam napiszesz, jak długo i jak przetwarzasz dane lub sesje. W Polityce prywatności możesz też zawrzeć informacje o ciastkach. Co do bezpieczeństwa długiego tokena - to jak ktoś bawi się 3 i ma dostęp jest wtedy problem. Ale przecież strony mają długie ciastko w cache zalogowania użytkowania z reguły. Więc nie jest to jakiś problem.
4. Na to pytanie nie mam żadnej wiedzy, więc nie mogę nic powiedzieć.

2. To jest twój własny wybór i droga. Można stosować ciastko w przeglądarce - jeśli to aplikacja na przeglądarkę, można i u siebie.

Tu mi bardziej chodziło o kwestie bezpieczeństwa, localStorage jest dostępny z JSa więc jest podatny na ataki jak XSS. Ta aplikacja nie robi przelewów, nie trzyma wrażliwych danych (no chyba, że użytkownik tam zacznie wpisywać tego typu rzeczy, tego mu nie zabronie, aczkolwiek nie taki jest cel tej apki), więc zastanawiam się czy localStorage nie jest good enough, szczegolnie że ciastka httpOnly są problematyczne na niektórych przeglądarkach.

A jeszcze co do RODO, regulaminu itp - spoko, ogarnę to. Pewnie i tak będę chciał skonsultowac to z prawnikiem wcześniej.
Pytanie teoretyczne, co jak takie dane wyciekną? Teoretycznie ktoś zgadnie moje hasło do Google Firebase i ma dostęp do wszystkiego. Komuś ktoś ukradnie token i dostanie tym samym jego maila.
Jest mowa o karach rzędu dziesiątek milionów złotych, obstawiam że dla małej apki to nie będzie miało miejsca, ale chciałbym wiedzieć - co faktycznie mi grozi? w jakich okolicznościach? np. zrobię wszystko według swojej najlepszej wiedzy, pominę jakąś drobnostkę i dostaje bańkę kary? Czy raczej musiałbym zostawić otwarte drzwi i całkowicie olać security, by ktoś mógł się przyczepić?

Wysyłaj kody zdrapki do logowania, tak jak profesjonaliści

Jak dane wyciekną, to musisz zrobić wszystko co w twojej mocy z powiadomieniem osób zainteresowanych wyciekiem. Dodatkowo powinieneś zrobić audyt powodów i zakresu wycieku. Ale przed takim wyciekiem warto zabezpieczyć te dane w możliwy sposób. Bo ponosisz odpowiedzialność za coś takiego (choć nie sądzę aby użytkownicy aplikacji za wyciek maila posądzali Ciebie przed sądem) ani mieli do tego podstawy.

Co do ciastek - samemu używam tych w przeglądarce klienta a nie zapisywanych lokalnie.