L'attuale RFC Websocket richiede che i client websocket mascherino tutti i dati all'interno dei frame durante l'invio (ma non è richiesto al server). Il motivo per cui il protocollo è stato progettato in questo modo è impedire che i dati dei frame vengano alterati da servizi dannosi tra client e server (proxy, ecc.). Tuttavia, la chiave di mascheramento è ancora nota a tali servizi (viene inviata in base al frame all'inizio di ciascun frame)
Sbaglio nel ritenere che tali servizi possano ancora utilizzare la chiave per smascherare, modificare e ri-mascherare il contenuto prima di passare il frame al punto successivo? Se non sbaglio, come si risolve la presunta vulnerabilità?