Действительно ли маскировка необходима при отправке из клиента Websocket?

В соответствии с действующим RFC для Websocket, клиенты Websocket при отправке маскируют все данные внутри фреймов (но сервер не обязан). Причина, по которой протокол был разработан таким образом, заключается в том, чтобы предотвратить изменение данных фрейма вредоносными службами между клиентом и сервером (прокси и т. Д.). Однако маскирующий ключ все еще известен таким службам (он отправляется для каждого кадра в начале каждого кадра).

Неправильно ли я предположить, что такие сервисы все еще могут использовать ключ для снятия маскировки, изменения и затем перемаскирования содержимого перед передачей кадра в следующую точку? Если я не ошибаюсь, как это исправить предполагаемую уязвимость?

Раздел 10.3 RFC объясняет, почему требуется маскировка. Это очень специфический ответ на конкретную технику взлома. Проблема он пытается адрес описан в статье под названием 2010 Talking к себе для развлечения и прибыли некоторые из острейших людей интернет - безопасности транспорта.

Маскирование между клиентом и сервером используется протоколом Websocket, чтобы прокси-серверы невольно рассматривали данные WebSockets как кешируемый HTTP-запрос. Вы можете поспорить, потворствует ли это глупым прокси (и я думаю, что это так), но это причина.

Маскировка бесполезна с wss://WebSockets через SSL / TLS. Поскольку рекомендуется использовать SSL / TLS всякий раз, когда это возможно, вы можете сделать разумный вывод о том, что маскирование охватывает случай предельного использования.