Ci sono dei pericoli nell'invio di un numero pin una sola volta dal cliente al mio server su HTTP?
Qualcuno sta sostenendo che va bene visto che sarà usato una sola volta. Quindi non c'è possibilità che un attaccante lo riutilizzi dopo che è stato usato.
Sì, è problematico.
Un utente malintenzionato può intercettare la connessione, restituire un "Accesso non riuscito, riprovare" al client e procedere personalmente all'utilizzo della chiave unica. Se la transazione è di basso valore, questo potrebbe non essere un problema, ma è banale da evitare: usa TLS.
In generale, non ci sono veri motivi per non utilizzare TLS oggi. I certificati sono gratuiti, l'installazione è semplice e i browser contrassegneranno presto i moduli inviati tramite HTTP come non sicuri:
Quindi, mentre può essere tollerabile in alcune applicazioni, la domanda è perché vorresti che, quando è così conveniente ridurla a quasi zero?
Leggi altre domande sui tag http privacy web-application tls