согласно http://dev.rutoken.ru/pages/viewpage.ac … Id=3801101 в данный момент предоставляется 2 варианта веб плагинов, один специфичный для rotoken web, и "рутокен плагин".
Далее, согласно http://dev.rutoken.ru/pages/viewpage.ac … Id=3801092 У "Рутокен Плагин" имеет свой специфичный API, в котором есть функция login(deviceId, pin, resultCallback, errorCallback) позволяющая передавать pin код непосредственно из JS.

Вопрос, не является ли эта функция потенциальной угрозой безопасности поскольку:
1) допускает перебор pin кодов без нотификации пользователя (скорее всего не особо страшная проблема посколько токен скорее всего будет блокирован после n запросов)
2) позволяет вредоносным сайтам легко заблокировать токен, в случае если он случайно оказался подключенным в момент открытия этого сайта.
3) потенциально облегчает перехват pin кода через javascript, поскольку достаточно сделать JS иньекцию.

Возможно существует какая либо защита от этих моментов, которую я упустил?

спасибо за информацию.

Если что, старые функции пока не выпилены, и врядли когда нибудь будут. Мы просто не рекомендуем ими пользоваться.

соответственно если мне необходимо сделать подпись 3 раза подряд я получу 3 запроса пин-кода?

верно

В последней версии документации для ruToken Web функции rtwUserLoginDlg/rtwLogout/rtwIsUserLoggedIn помечены как устаревшие. Других функций для ввода пин кода я не обнаружил (возможно плохо искал).

Означает ли это, что было принято осознанное решение разрешить использование ruToken Web без пин кода?