Ho un server php e nodejs. L'utente accede al back-end php e, quando inserisce nodejs, il cookie SID php viene passato attraverso un websocket. Prendo inoltre l'ID di sessione, trovo il file di sessione nella directory di php e lo deserializzo, dove posso accedere ai dati.
È sicuro? Il websocket non utilizza una connessione TLS. Se no (probabilmente) perché, e quali sono le minacce?
Prima di tutto, qualsiasi tipo di informazione sensibile dovrebbe essere trasmessa attraverso canali sicuri. In questo caso è teoricamente possibile acquisire l'ID di sessione usando uno sniffer di pacchetti sulla rete perché la comunicazione non sia crittografata, come dici tu. Lo strumento Wireshark ha anche un filtro decente per semplificare il debug delle comunicazioni WebSockets. Tuttavia, tu dici che la tua applicazione accede ai dati all'interno dei file di sessione di PHP. Quale tipo di ulteriore attacco è conduttivo dipende dalla tua domanda, ad es. se si stampa il contenuto del file o una parte di. Secondo le informazioni fornite, potrebbe essere possibile falsificare i dati degli altri utenti memorizzati nel rispettivo file di sessione manipolando l'ID di sessione se il ricevitore WebSocket (Node.js nel tuo caso) è disponibile non solo per la tua applicazione PHP (ad es. una porta è esposta alla rete locale o Internet). Alcuni altri dettagli potrebbero aiutare.
Leggi altre domande sui tag tls session-management