Misure per proteggere i web socket per i client senza browser

0

Ho esaminato i rischi per la sicurezza che dovevano essere affrontati durante la configurazione di un'applicazione che utilizzava i websocket, ma i principali problemi che ho esaminato (CSRF, XSS, cross-site websocket hijacking) sembrano tutti incentrati su il client websocket impostato in un browser. Csrf e il dirottamento web-socket sembrano entrambi imperniati su altri siti web che sono in grado di accedere alle informazioni sui cookie dal sito Web target, ma questo non dovrebbe essere un problema quando il client websocket è un'applicazione separata, non browser. Per quanto riguarda le vulnerabilità XSS, non so come un client non browser possa introdurre nuovi problemi.

È possibile ignorare qualcuno di questi problemi quando si crea un'applicazione websocket che funziona fuori dai browser? Ci sono nuovi rischi che sorgono quando si utilizzano solo websocket per comunicare con client non-browser?

    
posta Copernicus 06.07.2017 - 20:13
fonte

1 risposta

0

Can any of these issues be ignored when building a websocket application that works outside browsers?

L'utilizzo della comunicazione websocket in un'impostazione non "sandboxed browser" significa che non devi preoccuparti delle carenze dei browser, ma ora hai più controllo su dove i dati che arrivano su / giù per la connessione websocket sono andando, e anche ciò che l'utente è in grado di fare con quei dati. Questo ti rende vulnerabile alla stessa varietà di exploit a cui è suscettibile qualsiasi connessione TCP o HTTP. In sintesi, l'applicazione in cui stai utilizzando il protocollo websocket non influisce sulla sicurezza del protocollo stesso .

    
risposta data 07.07.2017 - 03:40
fonte

Leggi altre domande sui tag