Websockets kullanan bir uygulama yapıyorum. Sadece kimliği doğrulanmış kullanıcıların oturum açtıktan ve bir oturum kimliği verildikten sonra sunucuyla bir web bağlantısı bağlantısı açmasına izin vereceğim. Ben doğrulanmış bir kullanıcı ile bir WebSocket bağlantısı açtıktan sonraAçık bir web bağlantısının etrafındaki güvenlik sorunları nelerdir?
, şimdiki "sayfa" sonra açık WebSocket bağlantısının detaylarını tutar. Bu noktada, bu bağlantı nispeten güvenli midir? Ya da her mesajda, websocket üzerinden gelen kendi uygulama seviyesi protokolümde bazı belirtileri gerçekten kontrol etmeli miyim?
Bilinen herhangi bir siteler arası sahtecilik tipi güvenlik sorunları var mı? Birisi, açık bir websocket'u, bazı javascript'i belirli bir şekilde yürütmek için kimliği doğrulanmış kullanıcıyı alıp, açık websocket bağlantısını kullanabilme kabiliyetiyle sonuçlanabilir mi? Eğer sunucu tarafında güvenli yaptığınızda
Yukarıdaki # 1 ile ilgili olarak - evet, bağlantıyı kurmak için bir HTTP GET isteği olduğundan, orijinal el sıkışmasında çerezi kontrol ediyorum. Çerez, önceki bir kimlik doğrulama yoluyla geçerli bir oturum kimliğine sahip olmalıdır. Bu yüzden ben güvenli bir şekilde bağlantıyı veriyorum ... bu bağlantı açıkken ve her mesajın doğrulanmamasına rağmen şu anda zayıflıkların var olabileceği açık değildi. – Rocketman