1
我使用socket.io構建聊天應用程序。如果客戶端在安全性方面收到他們的對話者的套接字ID,那麼可以嗎?客戶可以用這些信息做些什麼嗎?我的假設是沒有,因爲只有服務器可以發送消息給其他客戶端,但我是新來的Websocket機制,所以我沒有完全意識到所有的可能性。用戶套接字標識是否爲關鍵信息? (安全角度)
A
回答
1
socket.id只是套接字對象的字符串標識符,可以在服務器內部使用,也可以與其他客戶端共享爲該用戶的「句柄」。客戶端無法使用服務器沒有專門支持命令的套接字(連接/斷開連接除外)。
因此,如果id是一個祕密,它是否重要取決於您支持哪些服務器操作以及它們採用哪些參數。默認情況下,客戶端無法使用該ID進行任何操作。所以,除非你的服務器支持一個需要一個id的命令,並且你的設計需要這個id是一個祕密,那麼應該沒有問題。
相關問題
- 1. Unix多播套接字是否安全?
- 2. libc套接字是否線程安全?
- 3. 套接字:獲取用戶信息
- 4. 不支持關鍵字用戶標識
- 5. 套接字通信安全問題
- 6. android中的安全套接字通信
- 7. .Net - 檢測標識符是否爲關鍵字
- 8. 角度不安全鏈接
- 9. Socket.io - 「套接字ID」是否被認爲是一個明智的信息?
- 10. 使用`$`作爲C/C++中的標識符是否安全?
- 11. 春季安全用戶詳細信息
- 12. 角4個安全的重要信息
- 13. 爲同一套接口使用多個OutputStream是否安全?
- 14. 關閉套接字是否關閉流?
- 15. 安全角度表達
- 16. Pyro信號是否安全?
- 17. C#SSL安全套接字
- 18. C++檢測客戶端是否關閉連接(多套接字)
- 19. 關鍵字是不是作爲一個標識符有效:VB2010
- 20. 同時在一個套接字上recv()和send()是否安全?
- 21. IPC與unix域套接字是否安全?
- 22. boost套接字讀寫函數是否安全?
- 23. recv傳入0來檢測套接字錯誤是否安全?
- 24. AF_UNIX套接字是否發送線程安全?
- 25. 是否存在除SSLStream以外的C#安全套接字?
- 26. Python套接字對象是否線程安全?
- 27. 需要有關文件安全信息
- 28. 如何檢查角度中是否啓用調試信息?
- 29. 是否可以識別相對於用戶的信標位置?
- 30. 關閉時,套接字是否可以發送信號?
我不明白爲什麼它會是一個安全問題,但我也不明白爲什麼客戶端需要接收所有其他客戶端的套接字ID。這是由於Websocket API的一些基本方面,還是因爲你的服務器故意發送信息?在後一種情況下,你爲什麼要發送它/客戶對信息做了什麼?你是否使用套接字標識符作爲正確的用戶標識的替身? – aroth
套接字ID不是直接發送,而是用於形成一個唯一的字符串,即房間名稱,並將此字符串傳遞給客戶端(以便惡意的人可以理解房間名稱包含套接字ID)。 另外關於你最後一個問題,直接使用套接字ID作爲用戶ID是不好的做法? (假設用戶的生命週期只是會話的整個生命週期) – Absurdev
@Absurdev:那麼,如果這些房間應該是私人的,並且沒有其他身份驗證可以阻止加入私人房間而不知道它的名字,那麼是的使用公共ID將是一個糟糕的主意。 – Bergi