SRP en una red inalámbrica local y privada

1

estoy tratando de asegurar la conexión entre una aplicación web de una sola página (angularJS, cargada desde una fuente segura a través de SSL) a un servidor local (llamado BOX) dentro del wifi local y privado del usuario.

Entonces, la aplicación web se carga en el navegador a través de HTTPS y luego usa ajax para conectarse al recurso de BOX local en el wifi local.

En este punto, es posible que la aplicación web haya perdido la conexión a Internet, solo cargando datos de la fuente local.

Ahora, no puedo asegurar que el wirekless sea seguro ( las personas cercanas al wifi podrían escuchar ), por lo que necesito que ajax / javascript se autentique de forma segura con el recurso local de alguna manera.

La mayoría de los navegadores no admiten Fijación de HTTPS , por lo que no puedo usar HTTPS, un resumen sencillo / básico de Auth. no lo haré por el cliente, así que pensé en usar SRP .

Mi HTML / Javascript se entrega a través de HTTPS, por lo que debería ser lo suficientemente seguro como para evitar que sea modificado por un ataque de hombre en el medio.

Revisé SRP libs para Javascript.

Pregunta: ¿Alguien ve algún defecto en este concepto?

    
pregunta Andresch Serj 26.01.2015 - 12:30
fuente

1 respuesta

1

SRP protege solo contra un hombre en el medio que encuentra la contraseña. No protege contra un hombre en el medio activo que manipula los datos transferidos.

Dado que los ataques activos de intermediarios en una red local son fáciles ( falsificación ARP , etc.) cualquiera puede realice / manipule los datos y provoque acciones no deseadas dentro de su conexión segura, pero no a prueba de manipulaciones.

    
respondido por el Steffen Ullrich 26.01.2015 - 12:47
fuente

Lea otras preguntas en las etiquetas