Я читал, что WSS работает только на HTTP, а WSS работает как с HTTP, так и с HTTPS. Соединения WSS (Secure Web Socket) так же безопасны на HTTP-сервере, как и на HTTPS-сервере? Является ли соединение Web Socket Secure (WSS) все еще зашифрованным через TLS/SSL, если веб-сайт/сервер не является?
WSS по HTTP и WSS на HTTPS
Ответ 1
Является ли безопасное (wss) соединение с веб-сокетом все еще зашифрованным через TLS/SSL, если веб-сайт/сервер не работает?
Да.
Являются ли соединения wss (Secure Web Socket) столь же безопасными на http-сервере, как на сервере https?
Да (см. выше). Следует отметить одно: если HTML/JavaScript, который открывает безопасное соединение WebSocket, происходит через незащищенный HTTP, соединение WebSocket по-прежнему безопасно, но злоумышленник может изменить HTML/JavaScript при отправке с веб-сервера в браузер, HTTP-соединение не защищено от обмана или модификации man-in-the-middle.
Ответ 2
"wss работает как на http, так и на https"??? Это странная фраза.
wss безопасен только потому, что это означает "протокол WebSocket через https". Сам протокол WebSocket небезопасен. Протокола Secure WebSocket нет, но есть только "протокол WebSocket через http" и "протокол WebSocket через https". См. Также этот ответ.
Как автор nv-websocket-client (клиентская библиотека WebSocket для Java), я также сомневаюсь в фразе "если HTML/JavaScript, который открывает безопасное соединение WebSocket, поступает через незащищенный HTTP, соединение WebSocket по-прежнему безопасно" в ответе oberstet.
Прочитайте RFC 6455 (протокол WebSocket), чтобы получить правильный ответ. Чтобы стать настоящим инженером, Не пытайтесь читать RFC. Только поиск технических блогов и StackOverflow для ответов никогда не приведет вас в нужное место.