Предоставляет сигнал SignalR connectionid риск для безопасности

Я работаю над чат-приложением, использующим signalr. Я связываю каждого пользователя с помощью connectid.

Мне просто интересно, передаю ли я всем пользователям соединения, чтобы каждый мог видеть их в коде, может ли кто-нибудь вызвать какие-либо проблемы?

1 ответ

Разделение идентификатора соединения не является угрозой безопасности, насколько я знаю, однако, совместное использование токена подключения является одним.

Из моего собственного тестирования с SignalR он не проверяет происхождение сообщения, а только токен подключения, который является зашифрованной формой идентификатора соединения и именем пользователя (если я правильно помню), если сеанс аутентифицирован (что также является причиной вам необходимо повторно подключиться после аутентификации).

Я смог успешно обмануть соединение SignalR с другого компьютера на другом IP-адресе с версией 2.0.2, просто заменив токен подключения.

licensed under cc by-sa 3.0 with attribution.