Sto pianificando un progetto che deve essere conforme PCI, ma sono bloccato su una particolare vulnerabilità e non riesco a pensare a un modo per proteggerlo.
Lo scenario è che c'è un chiosco installato in un luogo pubblico su cui è in esecuzione un'applicazione HTML / Javascript. Il computer fisico è bloccato, ma gli utenti possono accedere al touch-screen e alla tastiera.
Il chiosco sarebbe protetto da firewall e consentito solo il caricamento di contenuti da determinati domini o IP, ma sono preoccupato per un utente che inserisce il codice direttamente nella pagina.
Quello che immagino è che una persona che accede al chiosco possa inserire il codice nella pagina usando document.write () che registra l'input dell'utente, quindi torna al kiosk in seguito per raccogliere l'input.
A questo punto sembra che l'unica protezione contro questo è che probabilmente l'utente non può aprire una console Web utilizzando solo la tastiera. Ci sono a) un modo per evitare di caricare script aggiuntivi dopo un certo punto? oppure b) un modo per garantire che una console Web non possa essere aperta in un browser? O qualche altra protezione?
In altre parole, oltre a proteggere fisicamente il computer, cosa devo fare per proteggere un'applicazione kiosk basata su browser quando il chiosco ha una tastiera?
E le idee o i pensieri sono apprezzati!