WSS en HTTP vs WSS en HTTPS

He leído que WS solo funciona en HTTP, y que WSS funciona tanto en HTTP como en HTTPS. ¿Las conexiones WSS (Secure Web Socket) son igual de seguras en un servidor HTTP que en un servidor HTTPS? ¿La conexión Web Socket Secure (WSS) aún está encriptada a través de TLS / SSL si el sitio web / servidor no lo está?

¿La conexión de un socket web seguro (wss) aún está encriptada a través de TLS / SSL si el sitio web / servidor no lo está?

Sí.

¿Las conexiones wss (Secure Web Socket) son tan seguras en un servidor http como lo son en un servidor https?

Sí (ver arriba). Hay una cosa a tener en cuenta: si el HTML / JavaScript que abre la conexión segura de WebSocket proviene de HTTP no seguro, la conexión de WebSocket sigue siendo segura, pero un atacante podría modificar el HTML / JavaScript mientras se envía desde el servidor web al navegador . Una conexión HTTP no está protegida contra la detección o modificación de man-in-the-middle.

“wss funciona tanto en http como en https” ??? Esta es una frase extraña.

wss es seguro solo porque significa “protocolo WebSocket sobre https “. El protocolo WebSocket en sí no es seguro. No existe un protocolo Secure WebSocket, pero solo hay “protocolo WebSocket sobre http” y “protocolo WebSocket sobre https”. Ver también esta respuesta .

Como autor de nv-websocket-client (WebSocket client library for Java), también dudo de la frase “si el HTML / JavaScript que abre la conexión segura de WebSocket proviene de un HTTP no seguro, la conexión WebSocket sigue siendo segura” en el respuesta por oberstet.

Lea RFC 6455 (El protocolo WebSocket) para llegar a la respuesta correcta. Para convertirte en un verdadero ingeniero, no evites leer RFCs. Solo buscar blogs técnicos y StackOverflow para obtener respuestas nunca lo llevarán al lugar correcto.