Le courant Websocket RFC nécessite que les sites WebSocket Clients masque toutes les données dans les cadres lors de l'envoi (mais le serveur n'est pas requis pour). la raison Le protocole a été conçu de cette manière consiste à empêcher les données d'image d'être modifiées par des services malveillants entre le client et le serveur (proxies, etc.). Cependant, la clé de masquage est toujours connue de ces services (il est envoyé sur une base par image au début de chaque image)
Ai-je tort de supposer que de tels services peuvent toujours utiliser la clé pour démasquer, modifier et ré-masquer le contenu avant de passer le cadre au point suivant? Si je ne me trompe pas, comment cela corrige-t-il la supposée vulnérabilité?
Le masquage est inutile avec wss://
AKA WebSockets sur SSL/TLS. Comme il est recommandé d'utiliser SSL/TLS dans la mesure du possible, vous pouvez conclure raisonnable que le masquage couvre un étui marginal d'utilisation.