ドキュメントのSpecifying WebSocket authentication detailsでは、クライアントのauthenticate()JS func からサーバーのonWSAuthenticate. それらは安全なチャネルを介して送信されていますか? またはプレーンテキストで?
副次的な質問: websocket のトラフィックを傍受するために使用できるツール/ブラウザー/ブラウザーのプラグインは何ですか?
ありがとうございました。
質問する
1228 次
2 に答える
1
authenticate() 関数を介して送信されるユーザー名/パスワードは平文です。実際には cfwebsocket.js で確認できます (縮小されているため、authenticate を検索してください)。呼び出しが認証のための場合、サーバーでは、関数に与えられたユーザー名またはパスワードを渡して、application.cfc で onWSAuthenticate() を呼び出します。したがって、暗号化/復号化/検証のロジックは開発者にあります。
任意の TCP モニターを使用して、wiresharkや TCPMon などの Websocketのトラフィックをスニッフィングできます。
于 2012-05-22T10:30:47.457 に答える
0
ほとんどの場合、これがどのように機能するかについての私自身の理解を深めるために答えるだけです。websocket.orgサイトから:
トンネルは、HTTP CONNECT ステートメントをプロキシ サーバーに発行することによって確立されます。このステートメントは、プロキシ サーバーが特定のホストおよびポートへの TCP/IP 接続を開くように要求します。トンネルが設定されると、通信はプロキシ経由で妨げられずに流れることができます。HTTP/S は同様の方法で動作するため、SSL を介した安全な WebSocket は同じ HTTP CONNECT 手法を利用できます。
したがって、これがあなたの求めているものである場合、http/https と同様に、開発者が SSL 暗号化を実装する必要があるように見えますが、これは理にかなっています。
Sagar Ganatra には、CF を使用した Websocket 認証の基本に関するブログ エントリもあります。
于 2012-05-22T13:55:40.103 に答える