SignalR Hub 클래스에서는 사용자에게 Context.ConnectionId
으로 전화를 걸 수 있습니다. 사용자를 함께 연결하기 위해 Dictionary<string, string>
에 저장하려고합니다. 다른 사용자의 클라이언트 ID를 사용자의 클라이언트로 반환 할 때 위험 또는 보안 취약성이 있습니까?다른 사용자의 연결 ID를 클라이언트에게 반환하는 위험이 있습니까?
14
A
답변
25
예, 일부 샘플에서이 방법을 사용했지만 나쁘다고 생각합니다. 연결 ID가 누설되면 사용자는 연결시 메시지를 보내고받을 수 있습니다. 고유 한 다른 ID를 작성하고 ID와 연결 ID 간의 맵핑을 내부적으로 저장하여 다시 맵핑 할 수 있도록하십시오.
기본적으로 양식 승인 티켓과 동일한 개념입니다. 물론 그것은 암호화되어 있지만 누군가가 그것을 얻는다면 그들은 당신을 흉내낼 수 있습니다.
MessengR에서이 논리의 샘플을 참조하십시오. https://github.com/davidfowl/MessengR/blob/master/MessengR/Hubs/Chat.cs#L67
관련 문제
- 1. 다른 사용자의 연결 문자열
- 2. MySQL 사용자의 연결 이름과 성을 반환하는 방법
- 3. Collections.unmodifiableList에 성능 위험이 있습니까?
- 4. OAuth2가 다른 클라이언트에게 인증을 통과합니다.
- 5. Android 기기 ID 잠재적 위험이 있습니까?
- 6. Facebook 사용자의 ID를 쉽게 찾을 수 있습니까?
- 7. Heroku와 함께 이식성 위험이 있습니까?
- 8. 한 테이블의 ID를 다른 테이블의 데이터로 연결
- 9. @ Html.Raw를 사용할 때 위험이 있습니까?
- 10. 사용자의 ID를 저장하는 방법은 무엇입니까?
- 11. php에서 사용자의 facebook 사용자 ID를 얻는 방법
- 12. Apache에서 auto_prepend_file의 보안 위험이 있습니까?
- 13. 이 방법으로 보안 위험이 있습니까?
- 14. asp.net : 서버에서 사용자의 사용자 ID를 인식하는 방법
- 15. allocate_ids를 남용 할 수 있습니까? ID가 다 떨어질 위험이 있습니까?
- 16. 익명 사용자의 연결 문자열
- 17. facebook 사용자의 프로필에 연결
- 18. Facebook 연결, FBML : 어떻게 사용자 ID를 얻습니까?
- 19. JoinTable이 OneTMany와 null을 반환하는 연결
- 20. IMAGE_FILE_REMOVABLE_RUN_FROM_SWAP 또는 IMAGE_FILE_NET_RUN_FROM_SWAP과 관련된 위험이 있습니까?
- 21. 다른 사이트에서 호스팅되는 SSL 이미지를 사용할 때 위험이 있습니까?
- 22. 다른 객체에서 원시 배열 프로토 타입 메서드를 사용할 위험이 있습니까?
- 23. 이메일 대신 ID를 반환하는 페이스 북의 API
- 24. SDK를 통해 사용자의 사과 ID를 가져올 수 있습니까?
- 25. 페이지 탭에서 현재 사용자의 ID를 얻기
- 26. ID를 만들기 위해 # 연결
- 27. WindowsIdentity를 사용하여 현재 사용자의 ID를 쿼리 하시겠습니까?
- 28. 요청을 보내는 사용자의 ID를 얻는 방법은 무엇입니까?
- 29. Erlang 클러스터를 실행할 때 보안 위험이 있습니까?
- 30. Socket.IO를 사용하면 연결이 끊긴 사용자의 세션 ID를 어떻게 알 수 있습니까?
따라서 권장 사항은 –
입니다. 바로 말씀 드리겠습니다. "고유 한 다른 ID를 만들고 내부 ID로 연결 ID의 매핑을 저장하여 다시 매핑 할 수 있도록하십시오." – davidfowl
Ahhh 잡았다! 따 :) –