Websocket-protokollan tietoturva selainsovelluksissa
Fagerlund, Tomi (2014)
2014
Tietojenkäsittelyoppi - Computer Science
Informaatiotieteiden yksikkö - School of Information Sciences
This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Hyväksymispäivämäärä
2014-06-26
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:uta-201407011931
https://urn.fi/URN:NBN:fi:uta-201407011931
Tiivistelmä
Tämä tutkielma tutustuttaa lukijan yleisimpiin verkkoprotokolliin ja esittelee websocket-protokollan. Websocket-teknologiaa kokonaisuutena esitellään ja vertaillaan muihin verkkosovelluksissa käytettyihin teknologioihin. Lisäksi websocket-teknologiaa analysoidaan tietoturvan näkökulmasta.
Tietoturva-analyysin pohjalta todetaan, että yleiset verkkosivuhaavoittuvuudet mahdollistavat websocket-yhteyden kaappaamisen, jolloin ulkopuolinen osapuoli saa täydet luku- ja kirjoitusoikeudet yhteyteen. Websocketin hallinta mahdollistaa uusia verkkohyökkäyksiä. Yhteyden kaappaamisen estämiseksi ja verkkohyökkäysten lieventämiseksi ehdotetaan erilaisia keinoja.
Tietoturva-analyysin pohjalta todetaan, että yleiset verkkosivuhaavoittuvuudet mahdollistavat websocket-yhteyden kaappaamisen, jolloin ulkopuolinen osapuoli saa täydet luku- ja kirjoitusoikeudet yhteyteen. Websocketin hallinta mahdollistaa uusia verkkohyökkäyksiä. Yhteyden kaappaamisen estämiseksi ja verkkohyökkäysten lieventämiseksi ehdotetaan erilaisia keinoja.