Code With Me 安全概述
Code With Me 是一款功能强大的工具,可让您协作处理代码。 拥有此能力的同时,也意味着有责任保护您的代码和访问级别的安全。
连接工作流程
假设有两位用户希望使用 Code With Me 相互连接。
某个用户(主持人 )在其本地 IDE 中点击 Code With Me 会话 操作以创建会话。
本地 IDE 向大厅服务器发送有关会话创建的通知,并请求会话连接。
注册完成后,将创建链接。
生成的链接通过任意可用方式发送给另一位用户(访客)。
例如,可通过 Slack、WhatsApp messenger、电子邮件等方式发送。
另一位用户(访客 )点击收到的链接。
来宾会接收有关如何连接到主机的参数,并开始连接。
此时将请求主机授权。 如果主机授予访问权限,则继续连接,来宾将连接到会话。
数据加密
在会话期间,主机与来宾会交换包括源代码、密码等在内的私密信息。
因此,主机与来宾之间的连接使用 TLS 1.3 进行端到端加密。 无论流量是用户之间直接传输,还是通过 JetBrains 中继服务器传输,任何第三方(包括 JetBrains)都无法访问该通信通道。
防范中间人(MitM)攻击
可以说,最大的风险在于恶意行为者通过冒充主机或来宾来访问通信通道,即所谓的中间人(MitM)攻击。
冒充合法的主机
在开始连接时,来宾和主机都会生成一个唯一的 SSL 证书,其中包含公钥部分和私钥部分。 来宾和主机通过这对 SSL 证书进行身份验证。
加入链接包含主机证书的指纹,即其 SSL 证书公钥部分的哈希。 除了主机外,没有任何人持有该证书的私钥部分。 因此,来宾不可能在物理层面连接到冒充主机的恶意行为者。
冒充合法的来宾
假设主机创建的链接发生了泄露。 例如,主机在公共频道中共享了该链接。
因此,如果主机不确定尝试连接到所创建会话的来宾身份,主机可以核对 PIN 码。 PIN 码必须与来宾的 PIN 码一致。 主机应通过任意可用的渠道核实来宾是否能够说出主机端显示的 PIN 码。 如果 PIN 码一致,则尝试连接到会话的用户是合法的。