Obecna specyfikacja RFC Websocket wymaga, aby klienci Websocket maskowali wszystkie dane w ramkach podczas wysyłania (ale nie jest to wymagane od serwera). Powodem protokół został zaprojektowany w ten sposób jest zapobieganie dane ramki z zmiané złośliwych połączeń między klientem a serwerem (serwerami proxy, itp). Jednak klucz maskowania jest nadal znany takim usługom (jest wysyłany na podstawie pojedynczej ramki na początku każdej ramki)
Czy mylę się, zakładając, że takie usługi mogą nadal używać klucza do zdemaskowania, zmiany i ponownego maskowania zawartości przed przekazaniem ramki do następnego punktu? Jeśli się nie mylę, w jaki sposób to naprawia rzekomą lukę?
źródło
Maskowanie jest bezużyteczne w przypadku
wss://
WebSockets przez SSL / TLS. Ponieważ zaleca się stosowanie SSL / TLS, gdy tylko jest to możliwe, można rozsądnie stwierdzić, że maskowanie obejmuje marginalny przypadek użycia.źródło