In uno scenario di comunicazione client-server su sicuro websocket , il client è autorizzato in modo sicuro e da lì in poi, ho due scelte:
- Assegna un ID casuale univoco (sessione) e controlla quello successivo comunicazioni.
- si basano sulla connettività socket e mantengono un handle per l'oggetto socket (che utilizza internamente la propria sessione).
Sicuramente la prima scelta è sicura se è stata implementata correttamente. La mia domanda è, se il secondo è sicuro. Se qualcuno è in grado di intercettare la connessione websocket in modo tale da non far cadere la connessione, questa scelta non può essere considerata sicura. Dovrei preoccuparmi di questo?