web-dev-qa-db-ja.com

HTTP上のWSSとHTTPS上のWSS

WSはHTTPでのみ動作し、WSSはHTTPとHTTPSの両方で動作することを読みました。 WSS(Secure Web Socket)接続は、HTTPSサーバー上と同じくらいHTTPサーバー上でも安全ですか? Webサイト/サーバーが暗号化されていない場合、Web Socket Secure(WSS)接続はTLS/SSLを介して暗号化されますか?

39
Isaac

Webサイト/サーバーが暗号化されていない場合でも、Webソケットセキュア(WSS)接続はTLS/SSLで暗号化されていますか?

はい。

HTTPS(セキュアWebソケット)接続は、HTTPSサーバーと同じくらいHTTPサーバーでも安全ですか?

はい(上記を参照)。注意すべき点が1つあります。安全なWebSocket接続を開くHTML/JavaScriptが非安全なHTTPを経由する場合、WebSocket接続は依然として安全ですが、攻撃者はWebサーバーからブラウザに送信中にHTML/JavaScriptを変更する可能性があります。 HTTP接続は、中間者のスニッフィングまたは変更に対して保護されていません。

36
oberstet

"wssはhttpとhttpsの両方で動作します"???これは奇妙なフレーズです。

wssは、「https上のWebSocketプロトコル」を意味するため、安全です。 WebSocketプロトコル自体は安全ではありません。 Secure WebSocketプロトコルはありませんが、「httpを介したWebSocketプロトコル」と「httpsを介したWebSocketプロトコル」のみがあります。 this answer も参照してください。

nv-websocket-client(Java用のWebSocketクライアントライブラリ)の作者として、私はフレーズ「セキュアなWebSocket接続を開くHTML/JavaScriptが非セキュアなHTTPを経由する場合、WebSocket接続はセキュアです」oberstetによる回答。

RFC 6455 (WebSocketプロトコル)を読んで正しい答えに到達してください。真のエンジニアになるためには、読むことを避けないでくださいRFC。技術的なブログとStackOverflowで回答を検索するだけでは、適切な場所に移動できません。

73