El servidor de sockets acepta conexiones desde cualquier Moodle

[LuksAO]

Actualmente si conoces la url y el puerto del servidor de Kuet lo puedes usar en cualquier Moodle independientemente de que sea tuyo o no.

El servidor carece de seguridad básica.

La encriptación de mensajes es innecesaria porque los datos ya debería ir encriptados por https.

El uso de secretos/contraseñas carece de sentido si estos secretos son estáticos entre distintas instalaciones de Moodle y están publicados en el propio código fuente del plugin.

[juacas]

Duplicado de #67

[juacas]

@LuksAO el servidor de Websocket no recibe conexiones desde Moodle, sino desde los ordenadores de los usuarios. Es un router de mensajes entre pares.
La encriptación no tiene el objetivo de ocultar la información, sino de desincentivar que los usuarios intenten interferir con mensajes creados manualmente.
En #67 y #68 hay propuestas para mejorar esta parte.

[juacas]

@LuksAO por favor, probad la versión de la rama feature/hashedsessions #83

He implementado un mecanismo de autenticación que impide iniciar sesión e intercambiar mensajes si no hay una clave compartida común.

En resumen:

• Para cada sesión Kuet se genera una clave compuesta por el id de sesión y un password secreto (salted hash).
• Esa clave la conocen todos los clientes de esa sesión. No es un gran secreto porque va en el interfaz de usuario, pero solo sirve para esa sesión.
• Todos los mensajes entre estudianes y profesores deben llevar esa clave.
• Cualquier cliente externo que quiera utilizar el servidor de Websocket, no prodrá generar esas claves y el servidor de websocket cerrará la conexión con un mensaje de "Unauthorized".

Creo que esto da un paso adelante importante a KUET.
Por favor, haced algunas pruebas y dadme el OK para mezclarlo en la rama general y publicar un release nuevo.

NOTA: Para probarlo tendrás que purgar todas las cachés para refrescar javascript y cadenas de idioma.