Это выглядит так, как будто SignalR использует GUIDs как идентификатор соединения для клиентовЯвляются ли идентификаторы соединения SignalR криптографически безопасными?
Хотя поведение может быть изменен, структура будет использовать GUID по умолчанию:
и мы говорят, что если человек может угадать идентификатор соединения другого клиента, то они могут имитировать себя.
Вы никогда не должны передать идентификатор подключения одного клиента к другим клиентам, а злоумышленник может использовать его, чтобы имитировать запрос от клиента.
ли эти соединения ID GUIDs криптографически безопасный/случайный? Если бы это не выглядело как (сверкающе очевидная) дыра в безопасности.
Thankyou imperugo, но я беспокоюсь о том, что злоумышленники угадывают идентификатор соединения, а не от них, обнюхивая его. Если они смогут нюхать его, тогда неважно, было ли это порождено неописуемым образом. –