Possibili vulnerabilità nell'applicazione di chat privata implementate tramite web broadcasting

1

Non ho mai usato web-socket ma sto lavorando in un framework PHP che ha incorporato una funzione di broadcasting. Questa trasmissione utilizza tecnologie basate su socket Web denominate Redis e Pusher. Il flusso di lavoro di questa trasmissione è il seguente:

1    Server publishes data on a channel say Test-channel when some appropriate event is fired
2    We retrieve data through Javascript using channel name on client side.

Ora voglio usare questo meccanismo di trasmissione per implementare chat private come quella di Facebook. Il problema che sto vedendo in questo è la privacy. È possibile cambiare il nome del canale in javascript per recuperare i messaggi di altri se determiniamo il nome del canale di altri o se applichiamo permute per il nome del canale e ascoltale sul client con javascript.

Ho creato una nuova soluzione per evitare questo problema di privacy e voglio i tuoi suggerimenti di esperti su di esso o anche tu puoi consigliare con altri approcci. I passaggi sono riportati di seguito:

1    When users come online, assign him random channel name and encryption key
2    This channel name and encryption key is known by only server and the receiver's browsers 
3    Sender do not know the channel name and encryption key, he posts message on server with receivers unique id or username
4    Server saves the message into database, encrypts it with receiver's key and sends on his channel 
5    Receiver will receive message on his channel and decrypt it with his key. 

Questo approccio è giusto? Se no, quale dovrebbe essere l'approccio alternativo ed efficiente? Che tipo di vulnerabilità potrebbe esserci?

Apprezzate modifiche, commenti e risposte saranno molto apprezzati.

    
posta Hassan Saqib 13.06.2015 - 18:53
fonte

0 risposte

Leggi altre domande sui tag