Come proteggere la pagina di accesso abilitata per JavaScript senza TLS

1

Sono coinvolto in un progetto IoT con l'interfaccia utente web a singolo cercapersone. Sfortunatamente, come è stato scoperto in maniera difficile, lo stack TLS non è fattibile sulla piattaforma selezionata. Le alternative che ho trovato per proteggere il relay di traffico XMLHTTPRequest sull'integrità e l'autenticità della pagina bootstrap / login. È sicuro assumere che nelle reti locali gli attaccanti non saranno in grado di intercettare una richiesta per la pagina di accesso da un browser a un dispositivo e inviare una pagina di accesso dirottata invece con JavaScript dannoso?

    
posta hutorny 08.05.2017 - 19:20
fonte

1 risposta

5

Is it safe to assume that in local networks attackers will not be able to intercept a request for login page from a browser to a device and send a hijacked login page instead with malicious JavaScript?

No, non puoi presumere che a meno che la connessione stessa non sia protetta in modo affidabile (ad esempio, un cavo UTP inaccessibile o una connessione WiFi già autenticata).

    
risposta data 08.05.2017 - 19:27
fonte

Leggi altre domande sui tag