¿Es seguro confiar en la conexión websocket?

2

En una situación de comunicación cliente-servidor sobre segura websocket , el cliente está autorizado de forma segura y A partir de ahí, tengo dos opciones:

  1. Asigne un ID aleatorio único (sesión) y verifique que en los siguientes comunicaciones.
  2. confíe en la conectividad del socket y mantenga un identificador del objeto socket (que utiliza internamente su propia sesión).

Seguro que la primera opción es segura si se ha implementado correctamente. Mi pregunta es, si la segunda es segura. Si alguien puede interceptar la conexión websocket de tal manera que la conexión no se caiga, esta opción no podría considerarse segura. ¿Debería preocuparme por eso?

    
pregunta Xaqron 04.10.2017 - 17:54
fuente

1 respuesta

2

Si la conexión webSocket está usando SSL / TLS, entonces no puede ser "interceptada" o "secuestrada" después de que se conectó. Esta es una de las protecciones fundamentales de SSL / TLS.

Parte del establecimiento de una conexión de este tipo es que los puntos finales terminan de manera segura con claves de cifrado (creadas a través de la tecnología de clave pública / clave privada) y uno que intercepta la conexión (el llamado ataque Man-in-the-middle) no tendrá las claves de cifrado adecuadas y, por lo tanto, no podrá leer los datos que se envían ni inyectar datos en la conexión. No pueden leer porque los datos están cifrados con claves que no tienen. No pueden enviar datos porque no tienen las claves adecuadas para cifrar los datos que pasarán las pruebas de seguridad entrantes.

    
respondido por el jfriend00 04.10.2017 - 18:27
fuente

Lea otras preguntas en las etiquetas