Abbiamo impostato la connessione https, tra client e server. Il problema è che i ragazzi della sicurezza, ci hanno mostrato che è possibile intercettare i dati utilizzando un certificato non valido rogue (l'utente deve accettarlo nel browser).
Il problema ora è che l'attaccante sarebbe in grado di vedere in un testo chiaro tutta la richiesta inviata al server e anche se per vedere qual è la struttura dei dati che stiamo inviando (è una vulnerabilità di sicurezza?
1) Ha senso cancellare le informazioni sensibili (sul lato client) e inviarlo hash al server?
2) Esiste un requisito che ci richiede di crittografare alcuni dati (il PIN della carta di credito) sul lato client e solo successivamente inviarlo al server. Ha senso? Dovremmo in qualche modo seguire gli stessi passi che facciamo per SSL, stabilire crittografia di fiducia, ecc., Solo per questo campo.
3) Vale la pena di offuscare il codice JS? Non sarebbe facilmente reversibile?