Защита веб-сокетов
Прямо сейчас наше приложение предназначено для облегчения связи через веб-сокеты после начальной загрузки.
Мы пытаемся найти решение для безопасной передачи конфиденциальных данных через этот транспорт.
Пока что мы подумайте о нескольких вещах:
- Аутентификация транспорта веб-сокета путем передачи уникального хэш, хранящийся в cookie сеанса, доставляемый через SSL при начальной загрузке.
Шифрование на стороне клиента с использованием чего-то вроде bcrypt javascript реализация для шифрования всего перед транспортировкой.
Просто передача всех конфиденциальных данных с обычной почтой через SSL даже хотя мы не хотим этого.
Что-то вроде номера 1 было бы лучшим результатом, но мы не знаем, уязвимы ли веб-сокеты для таких вещей, как атака «человек посередине» даже после аутентификации.
Любая помощь в поиске возможных проблем с безопасностью или мы будем очень признательны за любые другие идеи о том, как достичь истинной безопасности через веб-сокеты!