Ho un'applicazione web e ho implementato un controllo sul browser per assicurarmi che un utente imposti solo password complesse. Una società che abbiamo chiamato per verificare le vulnerabilità di sicurezza ha sottolineato che questo non è sufficiente perché usando un po 'di hacking un utente può ignorare il controllo e impostare una password debole.
Non capisco come questa possa essere una vulnerabilità di sicurezza. Perché qualcuno dovrebbe hackerare il controllo di sicurezza solo per impostare una password debole? Qualcuno abbastanza esperto da hackerare l'applicazione web capirà l'importanza di utilizzare una password complessa.
L'unico motivo per cui posso pensare è che qualcuno, molto molto pigro, può decidere di hackerare il controllo solo per avere una password più facile da ricordare. Non so quanto sia probabile questo caso.
So che non puoi imporre una password complessa sul lato client e che se ti viene richiesto di avere una password complessa in qualsiasi circostanza, devi farlo lato server.
Il punto è: dato che, per avere un'esperienza utente accettabile, dobbiamo fare il controllo lato client, deve esserci una buona ragione, un caso d'uso reale che crea una possibile vulnerabilità per giustificare una duplicazione del controllo lato server.
Leggendo le risposte, finora, sembra che l'unico caso d'uso che può creare una vulnerabilità sia quando il javascript non funziona. Questo non sembra un problema per me perché il pulsante di invio è disabilitato per impostazione predefinita.