Jakie są problemy bezpieczeństwa związane z otwartym połączeniem sieci Web?

Question

Buduję aplikację korzystającą z łączy internetowych. Pozwalam tylko uwierzytelnionym użytkownikom na otwieranie połączenia internetowego z serwerem po zalogowaniu i otrzymaniu identyfikatora sesji.

1. Raz otwarto połączenie websocket z uwierzytelnionego użytkownika, „strona” prąd następnie przechowuje szczegóły otwartym związku websocket. W tej chwili, czy to połączenie jest względnie bezpieczne? Czy naprawdę powinienem sprawdzać jakiś token w każdej wiadomości w moim własnym protokole na poziomie aplikacji, który pojawia się przez websocket?

2. Czy są jakieś znane problemy związane z bezpieczeństwem typu "fałszerstwo między stronami"? Gdzie ktoś mógłby zagarnąć otwarty websocket, pozyskując uwierzytelnionego użytkownika, aby wykonać jakiś javascript w jakiś sposób - w wyniku czego można wykorzystać otwarte połączenie websocket?

Answer 1

1) Połączenie jest bezpieczne, gdy bezpieczne po stronie serwera. Musisz więc wysłać identyfikator sesji przez WebSockets, sprawdź po stronie serwera, czy jest poprawny i oznaczyć połączenie jako prawidłowe. Uwierzytelnianie jest trudniejsze z HTTP, ponieważ HTTP jest bezstanowy (w przeciwieństwie do surowego TCP). Oczywiście nadal można przejąć połączenie TCP, ale nie jest to takie proste (patrz na przykład this article), a jeśli tak się stanie, to nic nie pomoże (z wyjątkiem TLS).

2) Cóż, jeśli owinąć połączenia websocket z funkcji anonimowej tak:

(function() { 
    var ws = new WebSocket("ws://localhost:1000"); 
    // some other stuff 
})(); 

następnie bez zewnętrznego JavaScript będzie mógł uzyskać do niego dostęp, więc nie musisz się o to martwić.