Muchas medidas de seguridad están diseñadas para proteger contra usuarios hostiles que desean abusar del software o tener acceso a contenido al que no tienen permiso para acceder. Cosas como la protección CSRF, la protección SQLi, TLS y muchas otras características de seguridad protegen principalmente contra usuarios malintencionados. Pero, ¿y si se puede confiar en todos los usuarios?
Supongamos que tiene una aplicación web totalmente interna que solo se ejecutará en la intranet de la empresa y nunca será accesible desde el exterior. asuma que se puede confiar en todos los usuarios internos, no hay usuarios externos y los datos dentro de la aplicación no son de mucha utilidad para los atacantes. Esto significa que el modelo de amenaza es muy limitado y no hay mucha información confidencial.
Teniendo en cuenta estos detalles, parece que algunas de las medidas, como la protección TLS y XSS, no serían tan importantes. Después de todo, existe un riesgo muy pequeño de que los atacantes intercepten el tráfico, y se puede confiar en los usuarios para que no ingresen las cargas de XSS. En este caso, ¿tendría sentido implementar medidas de seguridad contra la intercepción de tráfico o usuarios malintencionados?