彗星般的行爲是否會使用node.js構成安全威脅？

Question

我正在尋找一個網站實施彗星喜歡的行爲。到目前爲止，Node.js（及其各種衍生產品）似乎領先於其他領域（恕我直言）。但是，我不禁注意到，所有客戶端JS負責更新客戶端（瀏覽器等），通信端口在客戶端腳本中明顯硬編碼。

對我來說（我可能是錯的），就像發佈服務器的哪些端口是開放的（因此歡迎黑客通過該端口進行攻擊）。我是過度偏執狂還是這真的是一個令人擔憂的事情？

Answer 1

我真的很想說彗星沒有那麼安全，但那不是真的。

首先，它通常不會不安全的原因是Comet請求就像普通的HTTP請求一樣，但生命週期稍長。因此，它們與您編寫的任何其他HTTP端點一樣，都要遵守相同的安全要求（例如，確保您驗證了用戶的會話cookie等）。

但是，長生命週期意味着底層用戶有可能通過彗星連接中途改變。這可能會造成一些有問題的用戶體驗。例如，想象一個聊天應用程序，該應用程序使用Comet streaming將消息發送到瀏覽器，並使用常規HTTP輪詢來更新好友列表，顯示用戶已經聯機的哪些朋友。現在研究這個方案...

• 弗雷德登錄到窗口A.打開一個彗星連接（認證爲弗雷德）您的基於彗星的聊天應用程序，並開始爲他拉的消息。涼。
• 現在弗雷德最小化窗口，（認爲他是關閉的一切）走開
• 莎莉走來（沒有看到弗雷德的最小化的窗口）並打開第二窗口到您的網站，並在記錄自己。這失效弗雷德的會話cookie，以及用Sally替換它。
• 不久之後，Sally沒有看到第一個窗口輪詢服務器以查看當前用戶的哪些朋友在線。因爲當前用戶現在是莎莉，那麼第一個窗口會更新以顯示她的所有朋友。

......現在Sally看到她什麼時候發現第一個窗口？朋友列表已更新，以顯示她的所有朋友，所以它看起來像她登錄那裏。但是彗星連接被認證給了弗雷德，並且仍然是開放的。所以莎莉得到弗雷德的信息，而不是她的。 EWWW。

這是您需要注意的事情，而不是擔心端點的可見性。 全部 http端點是可見的，並且可以使用現代瀏覽器調試器和網絡數據包嗅探器輕鬆進行反向設計。安全來自在服務器上實現健全的身份驗證策略，而不是隱藏如何連接到服務器。

最後，請注意，您的問題或此答案中沒有任何內容是針對node.js的。所有彗星解決方案都具有相同的特徵。