VG
и толку? :)
Size: a a a
2020 April 02
VG
ключ надо точно так же передавать на клиента
AP
ключ передавать по хттпс... :) ключ вполне может как-то вычисляться, например, от имени сервера
AP
или даже имя сервера+имя юзера
DE
да ксор устроил вполне.
VG
без явного вмешательства юзера, типа ввода пароля, это всё мертвому припарки
AP
без явного вмешательства юзера, типа ввода пароля, это всё мертвому припарки
зависит от цели
AP
если цель, чтобы получить дополнительный уровень шифрования с ключом, уникальным для каждого пользователя и чтобы этот ключ ещё и не передавался — то, вполне вариант, использовать хеш от конкатенации домена и юзернейма. при условии, что алгоритм не будет известен перехватчику.
VG
> при условии, что алгоритм не будет известен перехватчику.
в вебе, ага-ага.
в вебе, ага-ага.
AP
ну, бывают закрытые поделки
DE
javascript клиент можно разобрать и выяснить алгоритм
AP
Denis Erygin
да ксор устроил вполне.
это профанация. если уже есть wss, то нафиг не нужен ксор, он не добавляет реальной секурности
VG
уже сам с собой спорить начинает
AP
Denis Erygin
javascript клиент можно разобрать и выяснить алгоритм
представь себе, ты посылаешь сообщение, которое состоит из одних пробелов. что сделает с ним ксор?
AP
ну или про бинарные данные — длинная цепочка нулей
AP
> при условии, что алгоритм не будет известен перехватчику.
в вебе, ага-ага.
в вебе, ага-ага.
кстати, он говорил что-то про юнити. насколько я помню, это игровой движок для сишарпа, что вполне можно закомпилировать в бинарный код, что уже только дизассемблером копаться, а это совсем другой уровень эксперта нужен
OP
Denis Erygin
только надежность это маскирования никакая, ключ можно достать из пакета и расшифровать
Omg, прочитай на RFC зачем вообще нужно это маскирование. Это не шифрование. И оно включено на всех браузерах. Если бы не было, они не смогли бы подконеетиться ни к одному серверу. Это требование rfc
OP
Вкраце: оно нужно для защиты от вредоносного инджекта со стороны яваскрипта. Изза xor с рандомной маской, он не может управлять тем, что реально пошлется по сети. Это защищает кеширующие прокси, ничего не знающие о websocket. Доступа у яваскрипта к ключу xor как и отключению это функции естессно нету.
DE
Мне предложили заменить свое ксор шифрование на это маскирование, че такие злые то ;)
VG
Вкраце: оно нужно для защиты от вредоносного инджекта со стороны яваскрипта. Изза xor с рандомной маской, он не может управлять тем, что реально пошлется по сети. Это защищает кеширующие прокси, ничего не знающие о websocket. Доступа у яваскрипта к ключу xor как и отключению это функции естессно нету.
не понял, а инджекты тут каким боком?