Wpis z mikrobloga

#programowanie #javascript #nodejs #nodered #automatyka #cybersecurity

Cel: Połączyć się serwerem Node-RED do serwera FTP postawionego na sterowniku automatyki
Problem: bezpieczeństwo logowania się do serwera FTP

Chciałbym się połączyć serwerem Node-RED do serwera FTP postawionego na pewnym sterowniku automatyki przemysłowej mającym też funkcje routera.

Problem który mam to w jaki sposób zrobić to w sposób cyberbezpieczny. Plan jest taki:
1. Używam jednego z klientów FTP na Node-RED - obojętnie którego.
2. Do przechowywania hasła używam https://flows.nodered.org/node/node-red-contrib-credentials, dzięki czemu dane logowania są przechowywane w flows_cred.json, który jest zakodowany.
3. Edytor Node-RED też jest oczywiście zahasłowany.

Pytanie przekraczające moją wiedzę, związane pewnie z tajnikami #javascript - jak mam rozumieć ten fragment

Note: the value is stored using Node-RED's credentials API using the 'text' option; it is decoded in both runtime and editor mode. The value can be viewed using the debugger or when doing editor side DOM inspection. The "hidden" mode is only used to protect values from plain view.

Czyli w jaki sposób może być to hasło przechwycone? I jak się przed tym ochronić? Mając zahasłowany edytor Node-RED dostępny przez przeglądarkę WWW można je przechwycić? I co z atakami man-in-the-middle? Da się to ochronić w prostszy sposób niż zestawianie połączenia VPN ze sterownikiem automatyki?