WSS по HTTP vs WSS на HTTPS

Question

Я читал, что WSS работает только на HTTP, а WSS работает как на HTTP, так и на HTTPS. Соединения WSS (Secure Web Socket) так же безопасны на HTTP-сервере, как и на HTTPS-сервере? Является ли соединение Web Socket Secure (WSS) все еще зашифрованным через TLS/SSL, если веб-сайт/сервер нет?

Answer 1

Является ли безопасным (wss) соединение в сети, которое все еще шифруется через TLS/SSL, если веб-сайт/сервер нет?

Да.

Соединения wss (Secure Web Socket) так же безопасны на сервере http, как и на сервере https?

Да (см. Выше). Следует отметить одно: если HTML/JavaScript, который открывает безопасное соединение WebSocket, происходит через незащищенный HTTP, соединение WebSocket по-прежнему безопасно, но злоумышленник может изменить HTML/JavaScript при отправке с веб-сервера в браузер , HTTP-соединение не защищено от обмана или модификации man-in-the-middle.

Answer 2

«wss работает как на http, так и на https» ??? Это странная фраза.

wss защищен только потому, что он означает «протокол WebSocket свыше https». Сам протокол WebSocket небезопасен. Протокола Secure WebSocket нет, но есть только «протокол WebSocket через http» и «протокол WebSocket через https». См. Также this answer.

Как автор (библиотеки WebSocket клиента для Java) nv-websocket-client, я также сомневаюсь фразу «, если HTML/JavaScript, который открывает безопасное соединение WebSocket приходит незащищенное HTTP, соединение WebSocket еще безопасно " в ответе оберстете.

Прочтите RFC 6455 (Протокол WebSocket), чтобы получить правильный ответ. Чтобы стать настоящим инженером, не избегайте чтения RFC. Только поиск технических блогов и StackOverflow для ответов никогда не приведет вас в нужное место.