°Obrigado thomas.weiss por este abrangente artigo de blog!
Agradeço a decisão de habilitar UCON para WebSocket RFC por padrão.
Outra característica muito interessante, mencionada em seu artigo mas talvez não tenha recebido a atenção que merecia, é o suporte à autenticação baseada em certificados X.509, que não é suportada no RFC através do CPIC.
Isso não é apenas um benefício em termos de segurança, pois é considerado um método de autenticação mais robusto do que usuário + senha. Também elimina a necessidade de renovações de credenciais perfeitamente sincronizadas em ambos os lados da interface. Do meu ponto de vista, essa foi a principal razão pela qual tantas interfaces evitavam alterações regulares de senha, apesar de que a flutuação natural nas empresas deveria torná-las indispensáveis. Medidas organizacionais como 'não armazenar senhas de interface, mas sim redefini-las se necessário' raramente estavam em vigor em ambos os lados e não parecem eficazes para prevenir ataques motivados por insiders.
Uma coisa que me questionei é a falta de suporte para chamadas de retorno do RFC. Embora do ponto de vista de segurança seja muito bem-vinda, parece contradizer o princípio dos WebSockets. Uma das principais diferenças entre WebSocket e transmissão HTTP é que os WebSockets permitem comunicação bidirecional. Ou entendi errado?
Atenciosamente,
Joe