2
看起來好像SignalR使用的GUID爲客戶SignalR連接ID的加密安全性是多少?
連接ID雖然行爲可以被修改,該框架將使用默認GUID:
我們被告知,如果一個人可以猜出另一個客戶的連接ID,那麼他們可以冒充他們。
你永遠不應該通過一個客戶端的連接ID給其他客戶,如 惡意用戶可以用它來模擬來自客戶端的請求。
這些是連接ID的GUID加密安全/隨機的?如果不是,它看起來像是一個(非常明顯的)安全漏洞。
A
回答
0
我認爲客戶端必須始終將其標識符發送到服務器。使這個更安全的一個好方法是使用WSS而不是WS來使用websocket和Https而不使用http來進行回退。
它有道理嗎?
0
根據signalr documentation,連接ID作爲加密連接令牌的一部分發送。他們使用DPAPI數據保護進行加密。因此,連接ID不需要安全地生成並且aren't。 有關安全性的信號員文檔(與上面相同)聲明不應該共享的事實也令我感到困惑。
由於連接標識是驗證過程的一部分,因此您不應該向其他用戶透露一個用戶的連接標識或將值存儲在客戶端(例如cookie中)。
不知道該怎麼做。基於代碼,共享連接ID應該是安全的,因爲令牌被加密。您可以在生成id的同一個類中看到加密/解密/檢查(第二個鏈接)。
相關問題
- 1. 安全/加密藍牙連接
- 2. Excel加密的安全性
- 3. SignalR持久連接的超時時間是多少?
- 4. SignalR定製連接ID
- 5. Java JSSE TLS - 此連接是否在雙向安全加密?
- 6. 加密有多安全?
- 7. JavaScript加密有多安全
- 8. 彈簧安全性_密碼加密
- 9. PHP連接到mysql安全地使用加密密碼
- 10. Facebook連接有多安全?
- 11. SignalR跨域連接 - 連接Id與用戶的連接
- 12. 3G是安全連接嗎?
- 13. API - 連接是否安全?
- 14. Nifi安全連接無密碼
- 15. 加密文件的安全性
- 16. WebApp上的加密/安全性
- 17. 在安全連接(HTTPS)中使用SignalR的「longpoling」連接時的安全警報。 IE8
- 18. 如何確保Apache AJP與Tomcat的連接安全/加密?
- 19. 安全連接
- 20. Access 2007中的加密有多安全?
- 21. 如何堅持SignalR連接ID
- 22. signalR維護用戶連接ID
- 23. signalr連接ID格式不正確
- 24. 我的加密密鑰加密方法是否安全?
- 25. WordPress的:FS_METHOD'直接'多少是不安全的?
- 26. 多用戶安全的SQL連接
- 27. Math.random()是加密安全的嗎?
- 28. 通過加密安全地從PHP連接到MSSQL?
- 29. 加密/安全數據庫連接字符串在php
- 30. Android安全/加密套接字
Thankyou imperugo,但我擔心攻擊者猜測連接ID,而不是他們嗅探它。如果他們能夠嗅探到它,那麼它是否以不可想象的方式產生就沒有關係。 –