RFC Websocket saat ini mengharuskan klien websocket menutupi semua data dalam bingkai saat mengirim (tetapi server tidak diharuskan untuk). Alasan protokol dirancang dengan cara ini adalah untuk mencegah data bingkai dari diubah oleh layanan jahat antara klien dan server (proxy, dll). Namun, kunci masking masih diketahui oleh layanan tersebut (dikirim pada basis per frame pada awal setiap frame)
Apakah saya salah berasumsi bahwa layanan seperti itu masih dapat menggunakan kunci untuk membuka kedok, mengubah, dan daripada menutupi kembali konten sebelum meneruskan frame ke titik berikutnya? Jika saya tidak salah, bagaimana cara memperbaiki kerentanan yang seharusnya?
sumber
Masking tidak berguna dengan
wss://
WebSockets alias lebih dari SSL / TLS. Karena disarankan untuk menggunakan SSL / TLS bila memungkinkan, Anda dapat menyimpulkan bahwa masking mencakup kasus penggunaan marjinal.sumber