¿Es Javascript en un navegador móvil más seguro que Javascript en otros tipos de sistemas? Por ejemplo, si tengo un sitio que incluye algún código de cifrado del lado del cliente (Javascript), con la intención de que solo se ejecute dentro de un navegador Safari en el iPhone (independiente o incrustado en una aplicación) o Chrome en un dispositivo Android, ¿qué son algunas posibles vulnerabilidades? ¿Es el cifrado de Javascript del lado del cliente una idea tan terrible en el espacio móvil como el espacio de escritorio?
Advertencias:
- Hacer una aplicación no es una opción. Esta pregunta es específicamente sobre la seguridad del entorno del navegador móvil. Me doy cuenta de que las API integradas serían una idea mucho mejor.
- Suponga que el servidor que aloja el código permanece seguro o que la persona está ejecutando el código localmente / fuera de línea.
Esto es lo que he pensado hasta ahora:
- Secuestro de la transmisión real (solucionable a través de HTTPS, excepto MITM)
- Mismo origen (solucionable a través de alojamiento en un subdominio dedicado)
Todos los demás ataques (por ejemplo, explotar una falla en el navegador del iPhone) parecen implicar uno de estos dos. Dada la actitud negativa general hacia el cifrado basado en Javascript, debo estar perdiendo algo. ¿Qué me estoy perdiendo?