我正在尝试为注册会员区域将客户端身份验证到我的安全WebSocket服务器(wss)。
一旦会员连接到Web服务器,我在数据库中记录一个唯一的令牌(与该会员相关联),并在发起与Web Socket服务器的连接的页面上显示它的隐藏字段。
然后,将令牌发送到WebSocket服务器,WebSocket服务器使用令牌进行身份验证。
我不是真正的安全专家,并希望听取您对我的身份验证安全性的意见。
除了cookie劫持之外,是否存在任何风险?是否有更好的方法来处理考虑到WebSocket在握手期间没有规定服务器可以验证客户端的特定方式。
我使用Ratchet WebSocket。
是的,一种选择是使用cookie(和TLS以避免cookie劫持):
在“普通HTML表单登录”后设置cookie,将cookie传输到WebSocket服务器,并使用cookie对WebSocket进行验证。
这里有一个完整示例,展示了如何使用Mozilla Persona进行WebSocket身份验证。
您问到了Ratchet。虽然这个示例不是Ratchet,但它可能会给您一些线索,这就是为什么我认为可以指向它的原因。
有风险吗?
是的,有很多。PKI/PKIX和SSL/TLS存在许多架构缺陷。有关完整的处理,请参见Peter Gutmann的Engineering Security。
此外,WebSockets不允许您查询底层连接的属性。因此,据我所知,您甚至无法确定是否实际上正在使用SSL/TLS。您唯一知道的是您请求了它。
为了完整性,我上次检查是在2013年3月,当时我对使用它们的应用程序进行了安全评估。现在可能已经有所改变。
我还尝试联系WebSockect RFC作者和RFC编辑,就一些安全问题进行了沟通。但所有的邮件都没有得到回复。
更新(2015年):情况变得更好了……浏览器和其他用户代理现在支持主机公钥固定。
但是,如果你仔细看细节,它应该被称为“带有覆盖的主机公钥固定”。内置的覆盖允许攻击者破坏良好的固定集。更糟糕的是,浏览器在掩盖中起到了共谋作用,因为它必须抑制失败的固定报告。
您可以在draft-ietf-websec-key-pinning的评论中阅读更多关于它的投诉(以及反驳)。
这是一个不应该被标准化的垃圾标准。它只是更不安全的浏览器垃圾。
WebSocket中的HTTP登录。 - jww