Как защитить переписку от MITM атаки?

Question

[ghbdtnvbh]

Имеется корпоративный месенджер в котором идет общение. Связка react + laravel. Имеется функция, с помощью которой при общении смс не летят на сервер, то есть общение идет в барузере, закрыли вкладку и смс улетели, по принципу жабера.

Вопрос такой, защитит ли нас HTTPS от этой атаки и что можно сделать, дабы погасить тревогу за то что кто то будет по середине. Получил вот такую задачу и пытаюсь в этом разобраться теперь.
Я так понял что если сможем использовать otr он нам поможет (?)
Так же вариант запретить использование больше одной вкладки, сможет ли помочь ?

Comments

[Aetae]

Если всё гонится через HTTPS то это решает проблему.

[Михаил Р.]

Aetae, https://www.securitylab.ru/news/521095.php

[Aetae]

Mike, это очень нишевая атака, но суть не в этом. Уязвимости есть во всём. Что бы вы не использовали, нет никакой разницы с TLS: уязвимости находят, их эксплуатируют, их закрывают.
- TLS - дыры ищут гораздо больше народу.
+ TLS - дыры закрывают гораздо быстрее.

Answer 1

[rPman]

Имеется функция, с помощью которой при общении смс не летят на сервер, то есть общение идет в барузере, закрыли вкладку и смс улетели

вы доверяете коду, который браузер подгружает с сервера?
Если на сервер данные не идут, значит используется webrtc, шифрование там заявлено но не совсем ясно что тут работает удостоверяющим центром, не сервер ли случайно? которому приходится доверять, так как формально обладая всеми этими данными и технической возможностью владелец сервера смог бы устроить MITM между клиентами.

если ключи шифрования передавать лично из рук в руки, то можно передавать шифрованные сообщения поверх любого ненадежного протокола, есть даже плагины OpenPGP к браузеру, правда найти достаточно популярного и удобного я не смог, есть к примеру maiilvelope заявлено что автоматически работает с почтовыми сервисами, шифруя текст на стороне клиента, но добавить свой домен не получилось...