WebSockets ... Они небезопасны?

Question

Я работал над HTML5 и наткнулся на этот сайт. http://www.rumpetroll.com. Это очень очень крутой сайт, но потом я заметил относительную легкость, с которой люди могут аварийно завершить работу сайта, поскольку они могут перегрузить схему отправки сообщений. ... Кроме того, я видел, как различные пользователи делали множество хаков с использованием javascript, и это заставило меня задуматься?

Действительно ли включение веб-сокетов портит структуру безопасности вашего сайта, и я имею в виду, нужно ли быть особенно осторожным, чтобы избежать взломов и сбоев? Пожалуйста, предоставьте мне справочную статью о том же или хорошем учебном источнике для веб-сокетов ... спасибо:)

Answer 1

Как и для любой технологии, безопасность зависит от вас.

PHP-сессии небезопасны, как вы можете себе представить, например. Ознакомьтесь с статьями Криса Шифлетта для объяснения этих тем.

http://shiflett.org/articles

Я рекомендую для этой новой технологии Javascript прочитать о распределении ресурсов между источниками, обмене документами и веб-сокетами, чтобы лучше понять реализации и недостатки безопасности.

Хороший момент для начала поиска по этим темам (и многим другим): http://caniuse.com/.

Помните, что любая необработанная реализация - это дыра в безопасности. Безопасность должна быть обеспечена всегда для любой функции, которую вы хотите реализовать.

Answer 2

Существует приличное WebSocket Tutorial , которое научит вас основам, но на самом деле безопасность и реализация зависит от вас. Я делаю много дополнительных вещей, которые бэкэнд должен покрыть в случае злоупотребления, о которых я не упоминаю, потому что это действительно не входит в тему основного урока.

Проверьте правильность доменов и ограничьте соответственно. Поймите, что вы не можете когда-либо доверять клиентской стороне. Необходимость иметь значительную часть кода, доступного на стороне клиента, означает, что вы должны проверять каждое сообщение, чтобы убедиться, что оно действительно приходит из вашего приложения.

Answer 3

Веб-сокеты - это технология клиент-сервер, которая зависит от реализации сервера и браузеров.Вы всегда должны быть особенно осторожны, чтобы избежать взломов и сбоев, а с новыми технологиями тем более.Я советую следовать хорошим правилам безопасности и проектировать вещи, которые нуждаются в защите, с нуля.Я не могу предоставить вам больше статей или учебных пособий, чем в Интернете.Если вам нужны глубокие знания по теме, купите книгу, если книга еще не написана, вы получите честь быть пионером в ней :) Тогда вы можете написать книгу и разбогатеть.Удачи!