背景
join_session 目前在 session_id 存在時會直接 enter_room,即便尚未驗證(live_server/app/__init__.py:1211-1214)。
轉錄廣播使用 room=session_id(live_server/app/__init__.py:1136)。
風險
- 未授權 socket 可能旁聽 session 即時資料
- session_id 若可猜測,資料外洩風險上升
目標
只有通過驗證的 socket 才能加入敏感資料 room。
實作建議
join_session 中先驗證,再 enter_room- 或分離 room:公開事件 room(可匿名)與私有轉錄 room(需 verified)
- server 端所有敏感 emit 前加授權保護
驗收條件
背景
join_session目前在session_id存在時會直接enter_room,即便尚未驗證(live_server/app/__init__.py:1211-1214)。轉錄廣播使用
room=session_id(live_server/app/__init__.py:1136)。風險
目標
只有通過驗證的 socket 才能加入敏感資料 room。
實作建議
join_session中先驗證,再enter_room驗收條件
transcription_update