问在LocalStorage中存储信用卡/银行账户信息的风险是什么？

EN

我最近注意到，我使用的一个账单支付网站似乎在我的浏览器的LocalStorage中存储我的银行账户和信用卡号码。数据存储在JSON对象中，该对象被串成LocalStroage。数据没有特殊的编码、混淆或加密。

虽然这在一开始是非常令人讨厌的，而且看起来确实是一种不合标准的工程实践，但我很难思考如何对这个实现进行有意义的黑客攻击：

• 由于该站点是HTTPS，中间人攻击不能注入恶意JavaScript来读取LocalStorage。
• LocalStorage不在HTTP和HTTPS之间的相同域上共享，因此这将排除通过非SSL连接进行脚本注入的可能性。
• 如果web应用程序未能对用户提交的内容进行清理，可能会注入恶意脚本从LocalStorage窃取数据，但也可以直接从JavaScript的内存中窃取这些数据。因此，使用LocalStorage的风险水平没有什么不同。
• 恶意浏览器插件可能会从LocalStorage中读取数据，但这与恶意插件可能从网页上抓取数据或从JavaScript内存读取数据的风险并无差别。
• 如果用户在公共计算机上登录这个网站，很有可能有人会从LocalStorage窃取他们的支付数据。但是，如果有人将他们的数据从屏幕上窃取，如果他们自己登录到应用程序中，那就不会有太大不同了。我假设LocalStorage在注销时就被清除了(这可能是一个过于慷慨的假设)。

这种做法还暴露了哪些其他安全漏洞？