Websocket é inseguro?
Quais medidas de segurança devo tomar pra implementar websocket de forma totalmente segura? O que pode dar ruim?
1
1
Você está usando SSL/TLS? Se a URL do seu websocket começa com WSS ao invés de WS então não se preocupe que o browser vai se certificar de que a comunicação é segura e que os certificados são validos.
Localmente você vai testar usando uma url do tipo ws://localhost:8080/ por exemplo, e isso significa que outros programas rodando no deu computador podem tentar ler o que está trafegando.
Em produção, dependendo de onde você rodar, tem que tomar alguns cuidados, em geral tem que confiar um pouco no seu host para manter seu certificado SSL seguro. Fora isso a comunicação via websocket é extremamente segura pois tem mesma criptografia das paginas web.
O melhor ponto para "hackear" um websocket é no proprio código que vai usar a conexão. Por exemplo se tem um player que envia a posição atual dele ele pode replicar a mensagem e enviar a posição que ele quiser depois que a comunicação já estiver estabelecida. A mensagem é segura pois ninguem pode ver ela fora o cliente e o servidor, mas o cliente tem esse ponto de falha que ele pode alterar seu próprio código.
1
depende da forma que você tá implementando, de qualquer modo é bom você ver as issues do framework ou biblioteca que for usar, outra dica é você pensar como um hacker ou pedir a ajuda de um...