Buduję aplikację korzystającą z łączy internetowych. Pozwalam tylko uwierzytelnionym użytkownikom na otwieranie połączenia internetowego z serwerem po zalogowaniu i otrzymaniu identyfikatora sesji.Jakie są problemy bezpieczeństwa związane z otwartym połączeniem sieci Web?
Raz otwarto połączenie websocket z uwierzytelnionego użytkownika, „strona” prąd następnie przechowuje szczegóły otwartym związku websocket. W tej chwili, czy to połączenie jest względnie bezpieczne? Czy naprawdę powinienem sprawdzać jakiś token w każdej wiadomości w moim własnym protokole na poziomie aplikacji, który pojawia się przez websocket?
Czy są jakieś znane problemy związane z bezpieczeństwem typu "fałszerstwo między stronami"? Gdzie ktoś mógłby zagarnąć otwarty websocket, pozyskując uwierzytelnionego użytkownika, aby wykonać jakiś javascript w jakiś sposób - w wyniku czego można wykorzystać otwarte połączenie websocket?
W odniesieniu do numeru 1 powyżej - tak, sprawdzam plik cookie w oryginalnym uzgodnieniu, ponieważ jest to żądanie HTTP GET, aby skonfigurować połączenie. Plik cookie musi mieć prawidłowy identyfikator sesji poprzez poprzednie uwierzytelnienie. Tak więc zapewniam bezpieczne połączenie ... po prostu nie było jasne, jakie luki mogą istnieć teraz, gdy połączenie to jest otwarte, a nie uwierzytelnianie każdej wiadomości ... – Rocketman