Wpis z mikrobloga

#programowanie #javascript #nodejs #nodered #cybersecurity

Chciałbym się połączyć serwerem Node-RED do serwera FTP postawionego na pewnym sterowniku automatyki przemysłowej mającym też funkcje routera.

Pytanie przekraczające moją wiedzę, związane pewnie z tajnikami #javascript - jak mam rozumieć ten fragment z biblioteki node-RED owej:

Note: the value is stored using Node-RED's credentials API using the 'text' option; it is decoded in both runtime and editor mode. The value can be viewed using the debugger or when doing editor side DOM inspection. The "hidden" mode is only used to protect values from plain view.

Czyli w jaki sposób może być to hasło przechwycone? I jak się przed tym ochronić? Mając zahasłowany edytor Node-RED dostępny przez przeglądarkę WWW można je przechwycić? I co z atakami man-in-the-middle? Da się to ochronić w prostszy sposób niż zestawianie połączenia VPN ze sterownikiem automatyki?

PS Przeredagowałem wczorajszy post, bo raz że mały odzew, to jeszcze zamiast odpowiedzi na pytania dostałem jakieś rady żeby zmienić protokół, co nie wchodzi w grę ( ͡° ͜ʖ ͡°)
  • 5
@Wegrzynski: wyloguj się z konta wykop ( ͡° ͜ʖ ͡°)

potem wejdź na ekran logowania, wpisz login i hasło
hasło jest zakropkowane? to dlatego, że input ma type="password"
W twoim przypadku ten input jest ukryty, to znaczy, że wartość nie jest widoczna (wizualnie) dla użytkownika, ale jak sobie gdzieś w formularzu kliknie "zbadaj" to w drzewku DOM zobaczy

a jeszcze uprzedzę pytanie, drzewko DOM to "wyrenderowany" kod
wyloguj się z konta wykop ( ͡° ͜ʖ ͡°)


@Dreszczyk: To akurat jest zawsze dobry pomysł, od tego zacznę ( ͡° ͜ʖ ͡°)

Ok, to teraz mi zaczyna świtać, DOM wiem co to jest mniej więcej.

a co do samego zabezpieczenia to MITM odpada raczej jak zaserwujesz to po https, jeżeli to coś domowego to dał bym basic auth i #!$%@?


@Dreszczyk: