การปิดบังจำเป็นจริงๆเมื่อส่งจากไคลเอนต์ Websocket

Websocket RFCปัจจุบันกำหนดให้ไคลเอ็นต์ websocket ปิดบังข้อมูลทั้งหมดภายในเฟรมเมื่อส่ง (แต่ไม่จำเป็นต้องใช้เซิร์ฟเวอร์) เหตุผลที่โปรโตคอลออกแบบมาเพื่อป้องกันข้อมูลเฟรมไม่ให้ถูกแก้ไขโดยบริการที่เป็นอันตรายระหว่างไคลเอนต์และเซิร์ฟเวอร์ (พร็อกซี่ ฯลฯ ) อย่างไรก็ตามคีย์การปิดบังยังคงเป็นที่รู้จักสำหรับบริการดังกล่าว (จะถูกส่งแบบต่อเฟรมที่จุดเริ่มต้นของแต่ละเฟรม)

ฉันผิดที่คิดว่าบริการดังกล่าวยังคงสามารถใช้กุญแจเพื่อเปิดโปงแก้ไขและปิดบังเนื้อหาอีกครั้งก่อนที่จะผ่านเฟรมไปยังจุดถัดไปได้หรือไม่? ถ้าฉันไม่ผิดวิธีนี้จะแก้ไขช่องโหว่ที่ควรทำอย่างไร

ส่วนที่10.3 ของ RFCอธิบายอย่างชัดเจนว่าเหตุใดจึงต้องมีการปิดบัง เป็นการตอบสนองที่เฉพาะเจาะจงมากต่อเทคนิคการแฮ็คเฉพาะ ปัญหาที่พยายามจะกล่าวถึงอยู่ในบทความปี 2010 ชื่อTalking to Yourself for Fun และ Profitโดยกลุ่มผู้ให้บริการขนส่งทางอินเทอร์เน็ตที่คมชัดที่สุด

การปิดบังไคลเอ็นต์กับเซิร์ฟเวอร์ถูกใช้โดยโปรโตคอล Websocket เพื่อป้องกันไม่ให้ผู้รับมอบฉันทะจัดการข้อมูล WebSockets เป็นการร้องขอ HTTP ที่แคชได้ คุณสามารถโต้เถียงได้ว่านั่นคือการเสแสร้งต่อพร็อกซี่โง่ (และฉันคิดว่ามันเป็น) แต่นั่นคือเหตุผล

การปิดบังไม่มีประโยชน์กับwss://aka WebSockets ผ่าน SSL / TLS เนื่องจากแนะนำให้ใช้ SSL / TLS ทุกครั้งที่เป็นไปได้คุณจึงสามารถสรุปได้อย่างสมเหตุสมผลว่าการปิดบังนั้นครอบคลุมกรณีการใช้งานเล็กน้อย