It is important that all local state be treated as a cache. User agents need to be free to garbage collect any local state. If they can't then attackers (or the merely lazy) will be able to fill up the user's disk. We can't expect web sites or users to do the chore of taking out the garbage. Better user agents will have better garbage collection algorithms.<div>
<br></div><div>It would be better to remove section 4.3.</div><div><br></div><div>Linus</div><div><br><br><div class="gmail_quote">On Tue, Aug 25, 2009 at 1:18 PM, Jens Alfke <span dir="ltr"><<a href="mailto:snej@google.com">snej@google.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;"><div style="word-wrap:break-word">I've just noticed an apparent self-contradiction in the <a href="http://dev.w3.org/html5/webstorage" target="_blank">Web Storage spec</a> (24 August draft).<div>
<br></div><div>Section 4.3 states:</div><div><blockquote type="cite">Data stored in local storage areas should be considered potentially user-critical. It is expected that Web applications will use the local storage areas for storing user-written documents.</blockquote>
</div><div><br></div><div>Section 6.1 states:</div><div><blockquote type="cite">User agents should present the persistent storage feature to the user in a way that does not distinguish them from HTTP session cookies.</blockquote>
<br></div><div>These statements are contradictory, because cookies don't store user-critical data such as documents. The user model of cookies is that they're conveniences (at best) for keeping you logged into a site or remembering preferences like font-size, so deleting them is no more than an inconvenience. If local storage is presented to the user as being cookies, then a user may delete it without understanding the consequences.</div>
<div><br></div><div>Potential result: "I was having trouble logging into FooDocs.com, so my friend suggested I delete the cookies for that site. After that I could log in, but now the document I was working on this morning has lost all the changes I made! How do I get them back?"</div>
<div><br></div><div>I suggest that the sub-section "Treating persistent storage as cookies" of section 6.1 be removed.</div><div><br></div><font color="#888888"><div>—Jens</div></font></div></blockquote></div><br>
</div>