Code With Me 安全概览
Code With Me 是一款功能强大的工具,可让您协作开发代码。 因此,使用该工具的同时也需承担确保代码和访问级别安全的责任。
连接工作流程
假设有两个用户希望通过 Code With Me 相互连接。
某位用户(主机 )点击 Code With Me 会话 操作,在其本地 IDE 中创建会话。
本地 IDE 会向 lobby 服务器发送创建会话的通知,并请求会话连接。
完成注册后,即创建链接。
生成的链接会通过任意可用方式发送给另一个用户(访客)。
例如,可以通过 Slack、WhatsApp、电子邮件等方式发送。
另一个用户(访客 )点击收到的链接。
访客会接收连接到主机所需的参数,并开始连接。
此时,会请求主机进行授权。 如果主机授予访问权限,则连接继续,访客加入会话。
数据加密
在会话期间,主机与访客会交换包括源代码、密码等在内的私密信息。
因此,主机与访客之间的连接使用 TLS 1.3 进行端到端加密。 无论流量是用户间直接传输,还是通过 JetBrains 中继服务器传输,任何第三方(包括 JetBrains)均无法访问此通信通道。
防范中间人(MitM)攻击
可以说,最大的风险是恶意行为者冒充主机或访客以访问通信通道,即所谓的中间人攻击。
冒充合法主机
在连接开始时,主机与访客都会生成一个唯一的 SSL 证书,其中包含公有和私有部分。 访客和主机将通过这对 SSL 证书完成身份认证。
加入链接中包含主机证书的指纹,这是其 SSL 证书公有部分的哈希值。 只有主机持有此证书的私有部分。 因此,访客无法物理连接到冒充主机的恶意行为者。
冒充合法访客
假设主机创建了一个链接并发生泄露。 例如,主机在公共频道中分享了该链接。
因此,如果主机无法确定试图连接到会话的访客身份,主机可以检查验证码。 验证码必须与访客所持一致。 主机应通过任意可用渠道确认访客是否能够说出主机端显示的验证码。 如果验证码匹配,则尝试连接会话的用户是真正的访客。