我正在编写一个通过套接字连接实现分布式对象系统的库。我要求用户签署任何已发送的消息,至少在通过网络进行通信时,否则攻击者可能会作为其中一个参与者并远程调用另一个方法,这将是一件坏事。
此库的主要用途是用于网络通信。但是我希望尽可能简单地让“hello world”示例在本地运行而不会损害某人的机器。假设来自与localhost的连接的传入数据是否真的来自localhost而没有以其他方式保护它是否合理?还有其他原因可能不安全吗?
如果相关,我正在使用OSX / iOS。
答案 0 :(得分:1)
除非您在计算机上启用了远程登录,否则环回连接是安全的。用户可以轻松地使用ssh(1)重定向连接。
通过不验证来自环回的消息来使代码复杂化是一个好主意是一个不同的问题,你必须问自己。