В старой и замененной черновике 75 спецификации WebSocket не указаны заголовки HTTP-запросов Sec-WebSocket-Key1 и Sec-WebSocket-Key2. Почему последний проект включает эти и что с точки зрения повышения безопасности?Почему WebSockets без Sec-WebSocket-Key1 небезопасен?
ответ
Вот что я мог бы выяснить: эти новые поля существуют, чтобы предотвратить перекрестные атаки. Предположим, что какой-то вредоносный JavaScript работает в веб-браузере, пытаясь подключиться к серверам, отличным от HTTP, не-WebSocket (например, FTP, telnet, SSH). С проектом 75 рукопожатие состояло только из клиента, отправляющего заголовок рукопожатия WebSocket, а сервер ничего не ответил. После этого клиент может отправить \x00...\xFF
обрамленные сообщения. Таким образом, вредоносный код JavaScript в клиенте мог бы подключаться к серверу, отличному от WebSocket (например, telnet), попытаться войти в систему и запустить там команды. После ввода Sec-WebSocket-Key1 попытка подключения к WebSocket завершится неудачей, если сервер не вернет контрольную сумму MD5 Sec-WebSocket-Key1 и т. Д. Заставляет сервер, не относящийся к WebSocket (например, telnet), сделать это почти невозможно, особенно потому, что код JavaScript не имеет контроля над Sec-WebSocket-Key1 и т. д.
- 1. Почему следующий код небезопасен?
- 2. Почему __caller__ небезопасен?
- 3. MYSQL небезопасен, но почему
- 4. Почему метод Thread.stop() небезопасен?
- 5. Почему strncpy небезопасен?
- 6. Почему ArrayList в C# небезопасен?
- 7. Почему этот общий метод небезопасен?
- 8. Почему запрос параметров HTTP небезопасен
- 9. Пользовательский протокол браузера небезопасен
- 10. Почему «example.it» безопасен и «www.example.it» небезопасен?
- 11. Почему маскируются маски WebSockets?
- 12. Профиль PowerShell небезопасен?
- 13. Django 1.5, наконец, небезопасен?
- 14. Is BindingHelperExtensions.updatefrom/Controller.UpdateModel небезопасен?
- 15. настройка websockets без командной строки
- 16. WebSockets не работает без WebApp
- 17. Spring Websockets @SendToUser без авторизации?
- 18. частный раздел классов Qt небезопасен
- 19. Tornado Websockets не звонит on_message без пинга
- 20. Файл PHPExcel небезопасен, когда открыт
- 21. Является ли протокол HTML5 WebSockets без потерь?
- 22. Изменение window.location.href в Firefox без закрытия WebSockets
- 23. WebSockets на локальном хосте заменяется без SSL
- 24. массив делегатов для обратного вызова небезопасен?
- 25. Клиент Arduino WebSockets с сервером PHP WebSockets
- 26. Почему этот пример Mojolicious websockets не работает?
- 27. Почему WebSockets работает только с websocket.org
- 28. Почему WebSockets использует хэш в рукопожатии?
- 29. Альтернатива WebSockets
- 30. HTML5 websockets vs PHP websockets vs node.js websockets?