1
我正在開發一個使用socket.io的web應用程序。 我目前使用的套接字ID作爲標識符獲取廣播到其他客戶端。現在這引發了安全問題,關於這個id是否可以用來劫持另一個用戶會話。不幸的是,要在網上找到任何信息是非常困難的。socket.io套接字ID應該是祕密的嗎?
所以 - 套接字ID應該保密還是我可以安全地使用它作爲公共標識符?
A
回答
3
客戶端無法直接對socket.id執行任何操作。因此,允許識別id本身並不會導致新的漏洞。但是,如果您的服務器允許在套接字上執行某些操作(如果只知道一個ID),那麼您必須評估服務器公開的操作的風險。由於您沒有向我們展示任何代碼或設計,因此我們無法真正評論這些內容。
例如,如果您的服務器支持「購買」消息,並且所需的全部內容都是客戶端觸發購買操作的ID,那麼如果您讓該ID公開,則可能會出現問題。但只要你的服務器提供給客戶端的唯一操作是用於公衆訪問任何套接字(比如向他們發送消息),那麼應該沒有問題。
所以 - 套接字ID應該保密還是可以安全地使用它作爲公共標識符?
它作爲一個公共標識符是非常好的,這是它在那裏的事情之一。它應該用作標識符(如「我想發送消息給Bob,以便告訴服務器向他的ID發送消息」),但不作爲授權。畢竟,如果你公開它,那麼它不是一個祕密,所以不應該被你自己的服務器API用來授權。
我想我應該更具體一些。我想知道是否有可能惡意用戶通過提供另一個套接字ID通過數據包僞造將其請求與外部套接字對象(我用作會話緩存)配對。我從你的回答中瞭解到情況並非如此 - 非常感謝!
socket.id在傳輸本身中並未被socket.io使用。所以你不能做任何惡意的事情,比如假裝成某個人,你不只是因爲你知道他們的socket.id。事實上,據我所知,客戶甚至不知道socket.id - 它在服務器實現中用於識別和查找特定客戶端。
相關問題
- 1. 我應該保持Apple開發者團隊ID的祕密嗎?
- 2. 應該把API的祕密加密了嗎?
- 3. 我應該關閉makefile'ed套接字,它是獨立的原始套接字嗎?
- 4. 使用icmp套接字時,我應該寫id到icmphdr id字段嗎?
- 5. 是否是Socket.IO套接字ID敏感/私有數據?
- 6. Socket.io + C套接字
- 7. 我應該加密我的Dropbox應用程序密鑰/祕密嗎?
- 8. 發送套接字數據到一個特定的套接字id socket.io
- 9. HMAC祕密密鑰是否應該不進行硬編碼?
- 10. 是從與應用祕密
- 11. Facebook應用程序ID和祕密
- 12. 如何獲取socket.io v1 +中連接的套接字對象(不是套接字ID)列表?
- 13. C#套接字vs NodeJS Socket.IO
- 14. 如果用戶ID是一個祕密
- 15. 我應該如何使用express.cookieParser()祕密?
- 16. Socket.io - 「套接字ID」是否被認爲是一個明智的信息?
- 17. Firebase - 是auth.uid共享的祕密嗎?
- 18. Google Appengine用戶應該被視爲祕密嗎?
- 19. 如何鏈接socket.io中的套接字?
- 20. 我應該讓我的地理編碼API密鑰成爲一個祕密嗎?
- 21. 我應該在套接字和另一個套接字之間使用Thread.Sleep嗎?
- 22. socket.io哈希的套接字ID可以使用逗號?
- 23. Socket.io - 發送到套接字ID的陣列
- 24. 什麼是發行人的祕密?應該輸入什麼?
- 25. 翻譯API的客戶端ID和祕密祕密
- 26. iOS:GoogleDrive API(API祕密和ID)
- 27. 格紋訪問令牌是祕密嗎?
- 28. Facebook應用程序ID和祕密密鑰的用途
- 29. Azure應用程序ID是否被視爲祕密令牌
- 30. Socket.io - 維護套接字連接(Swift)
我想我應該更具體一些。我想知道是否有可能惡意用戶通過提供另一個套接字ID通過數據包僞造將其請求與外部套接字對象(我用作會話緩存)配對。我從你的回答中瞭解到情況並非如此 - 非常感謝! – cwry