Molte misure di sicurezza sono intese a proteggere da utenti ostili che vogliono abusare del software o accedere a contenuti a cui non hanno il permesso di accedere. Cose come la protezione CSRF, la protezione SQLi, TLS e molte altre funzionalità di sicurezza proteggono principalmente da utenti malintenzionati. Ma cosa succede se tutti gli utenti sono affidabili?
Supponiamo che tu abbia un'applicazione web completamente interna che funzionerà sempre sulla intranet dell'azienda e che non sarà mai accessibile dall'esterno. Supponiamo che tutti gli utenti interni possano essere fidati, che non ci siano utenti esterni e che i dati all'interno dell'applicazione non siano di grande utilità per gli aggressori. Ciò significa che il modello di minaccia è molto limitato e non ci sono molti dati sensibili.
Considerando questi dettagli, sembra che alcune delle misure, come la protezione TLS e XSS, non sarebbero altrettanto importanti. Dopotutto, c'è un rischio molto scarso di attaccanti che intercettano il traffico, e gli utenti possono essere fidati di non inserire payload XSS. In questo caso, avrebbe ancora senso implementare misure di sicurezza contro l'intercettazione del traffico o gli utenti malintenzionati?