W klasie SignalR Hub możesz zadzwonić pod numer Context.ConnectionId dla użytkownika. Szukam ich przechowywania w Dictionary<string, string> w celu połączenia użytkowników. Czy istnieje ryzyko związane z lukami w zabezpieczeniach polegającymi na zwracaniu klientów klienta innego użytkownika do klienta użytkownika?Czy istnieje ryzyko zwrócenia identyfikatora połączenia innego użytkownika do klienta?
Tak, robimy to w niektórych z naszych próbek, ale jest źle. Jeśli wycieksz identyfikator połączenia, ludzie będą mogli wysyłać/odbierać wiadomości w twoim połączeniu. Utwórz inny unikalny identyfikator i przechowuj odwzorowanie między identyfikatorem a identyfikatorem połączenia wewnętrznie, aby móc je odwzorować.
Jest to w zasadzie ten sam pomysł, co bilet autoryzacji formularzy. Oczywiście, że jest zaszyfrowany, ale jeśli ktoś go znajdzie, może podszywać się pod Ciebie bez względu na to.
Zobacz próbkę tej logiki w MessengR. https://github.com/davidfowl/MessengR/blob/master/MessengR/Hubs/Chat.cs#L67
Tak więc zalecenie byłoby ... –
Jest tam, pozwól mi je przekształcić "Utwórz inny identyfikator, który jest unikalny i przechowuj mapowanie z identyfikatora połączenia do twojego identyfikatora wewnętrznie, aby móc je odwzorować." – davidfowl
Ahhh gotcha! ta :) –