È sicuro affidarsi alla connessione websocket?

2

In uno scenario di comunicazione client-server su sicuro websocket , il client è autorizzato in modo sicuro e da lì in poi, ho due scelte:

  1. Assegna un ID casuale univoco (sessione) e controlla quello successivo comunicazioni.
  2. si basano sulla connettività socket e mantengono un handle per l'oggetto socket (che utilizza internamente la propria sessione).

Sicuramente la prima scelta è sicura se è stata implementata correttamente. La mia domanda è, se il secondo è sicuro. Se qualcuno è in grado di intercettare la connessione websocket in modo tale da non far cadere la connessione, questa scelta non può essere considerata sicura. Dovrei preoccuparmi di questo?

    
posta Xaqron 04.10.2017 - 17:54
fonte

1 risposta

2

Se la connessione webSocket utilizza SSL / TLS, non può essere "intercettata" o "dirottata" dopo che è stata connessa. Questa è una delle protezioni fondamentali di SSL / TLS.

Parte di stabilire una tale connessione è che gli endpoint finiscono in modo sicuro con chiavi di crittografia (create tramite la tecnologia chiave pubblica / chiave privata) e una che intercetta la connessione (un cosiddetto attacco man-in-the-middle) non avrà le chiavi di crittografia appropriate e quindi non sarà in grado di leggere i dati inviati o iniettare dati sulla connessione. Non possono leggere perché i dati sono crittografati con chiavi che non hanno. Non possono inviare dati perché non dispongono delle chiavi appropriate per crittografare i dati che supereranno i test di sicurezza in entrata.

    
risposta data 04.10.2017 - 18:27
fonte

Leggi altre domande sui tag