SRP nella rete wireless locale e privata

1

Sto cercando di proteggere la connessione tra una web app a pagina singola (angularJS, caricata da una fonte sicura via SSL) su un server locale (chiamato BOX) all'interno del wifi privato e locale dell'utente.

Quindi la webapp viene caricata nel browser tramite HTTPS e quindi utilizza ajax per connettersi al BOX locale risorsa nel wifi locale.

A questo punto, la webApp potrebbe aver perso la connessione a Internet, caricando solo i dati dalla sorgente locale.

Ora, non posso garantire che il wirekless sia sicuro ( la gente vicino al wifi potrebbe ascoltare ) quindi ho bisogno di ajax / javascript per autenticarlo in modo sicuro con la risorsa locale in qualche modo.

La maggior parte dei browser non supporta HTTPS Pinning ed è per questo che non posso usare HTTPS, semplice digest / basic Auth non lo farò per il cliente, quindi ho pensato di utilizzare SRP .

Il mio HTML / Javascript viene fornito tramite HTTPS in modo che sia abbastanza sicuro da proteggerlo da un attacco man-in-the-middle.

Sono state pubblicate librerie SRP per Javascript.

Domanda: qualcuno vede qualche difetto in questo concetto?

    
posta Andresch Serj 26.01.2015 - 12:30
fonte

1 risposta

1

SRP protegge solo contro un uomo nel mezzo che annusa la password. Non protegge da un man-in-the-middle attivo che manipola i dati trasferiti.

Poiché gli attacchi man-in-the-middle attivi in una rete locale sono facili ( ARP spoofing ecc.) chiunque può creare / manipolare i dati e causare azioni indesiderate all'interno della connessione protetta in modo sicuro ma non a prova di manomissione.

    
risposta data 26.01.2015 - 12:47
fonte

Leggi altre domande sui tag