Attualmente ho un raspberry pi collegato al mio sistema di sicurezza domestica. Ho scritto un demone Python su un server HTTP (molto insicuro, lo so, ma è ancora in costruzione), quindi posso inviarlo richieste POST per attivare l'allarme. Sto cercando di aggiungere anche la funzionalità di disinserimento, che ovviamente richiede molta più sicurezza del comando arm.
Ho visto alcune guide che avvolgono il socket del server con ssl.wrap_socket e forniscono un certificato autofirmato e un file chiave. La mia domanda è: se qualche hacker riesce a connettersi alla mia rete WiFi e ad annusare il mio traffico, sarà in grado di "registrare" le mie richieste di disarmamento e inviarlo da solo (penso che si chiami un attacco di replay?) O è HTTPS totalmente crittografato quindi tutto ciò che può vedere è senza senso.
Sto pianificando di scrivere un'applicazione Android come client per inviare le richieste REST di disarmo localmente. Sono richieste configurazioni speciali sul lato client per sfruttare appieno HTTPS?