En una clase SignalR Hub, puede llamar al Context.ConnectionId para un usuario. Estoy buscando para almacenar estos en un Dictionary<string, string> con el fin de conectar a los usuarios. ¿Existe un riesgo o vulnerabilidades de seguridad al devolver los clientes de otros usuarios al cliente de un usuario?¿Algún riesgo de devolver el ID de conexión de otro usuario al cliente?
Sí, hacemos esto en algunas de nuestras muestras, pero es malo. Si filtra la identificación de conexión, las personas pueden enviar/recibir mensajes en su conexión. Cree otro ID que sea único y guarde una asignación entre su id. Y su id. De conexión internamente para que pueda mapearlos.
Básicamente es la misma idea que el boleto de autenticación de formularios. Claro que está encriptado, pero si alguien se apodera de él, puede hacerse pasar por usted.
Vea una muestra de esta lógica en MessengR. https://github.com/davidfowl/MessengR/blob/master/MessengR/Hubs/Chat.cs#L67
Así que la recomendación sería ... –
es justo ahí, deseo reiterar que "Crear otro identificador que es único y almacenar una correspondencia de ID de conexión a su identificación del interno para que pueda asignar de nuevo." – davidfowl
Ahhh gotcha! ta :) –