RFC 6455: campi modulo con inizio | Sec- | significare?

0

In RFC 6455 che è la specifica del protocollo Websocket che dice:

It is similarly intended to fail to establish a connection when data from other protocols, especially HTTP, is sent to a WebSocket server, for example, as might happen if an HTML "form" were submitted to a WebSocket server. This is primarily achieved by requiring that the server prove that it read the handshake, which it can only do if the handshake contains the appropriate parts, which can only be sent by a WebSocket client. In particular, at the time of writing of this specification, fields starting with |Sec-| cannot be set by an attacker from a web browser using only HTML and JavaScript APIs such as XMLHttpRequest [XMLHttpRequest].

Conosco moduli HTML, ma perché server e client comunicano con moduli HTML? E quali sono | Sec- | campi? Non sono un professionista delle tecnologie web, ma so che i moduli HTML possono essere facilmente manipolati con le API HTML e Javascript.

Scusa se è troppo semplice da chiedere, dimmelo e andrò a leggere i tutorial pertinenti.

    
posta d36f 18.07.2017 - 11:12
fonte

1 risposta

0

Come accennato nella sezione commenti, cita parte dallo RFC 6455 standard in Modello di sicurezza illustra i possibili attacchi di iniezione di codice e il suo utilizzo WebSockets come vettore di attacco.

Per possibili scenari di attacco RFC 6455 specifica le tecniche di mitigazione con una policy di handshake opportunamente definita. Teoricamente, gli aggressori non otterrebbero l'interfaccia richiesta per stabilire una connessione corretta.

Sec- * intestazioni richieste per stabilire e mantenere la connessione e menzionate principalmente nella quarta sezione Opening Handshake . Sono:

  • Sec-WebSocket-Key
  • Sec-WebSocket-Estensioni
  • Sec-WebSocket-Accetta
  • Sec-WebSocket-protocollo
  • Sec-WebSocket-Version
risposta data 18.07.2017 - 20:37
fonte

Leggi altre domande sui tag