我想知道是否应该在服务器和客户端之间添加SSL层。我没有处理任何机密数据,但是为了获得智能,有人可能想要破解传输的可能性非常小(顺便说一句,这是游戏)。现在,与小型网站相比,要处理的数据量相当可观,虽然增加的安全性可能很好,但最有可能的黑客是用户自己,所以我觉得SSL会浪费时间,但是想听听其他经历。
由于
答案 0 :(得分:11)
这听起来像是一个优化问题。如果您有自己认为有价值的信息,请从SSL(一种相对简单的安全解决方案)开始尝试。一旦有了工作,就可以使用和不使用系统进行基准测试。如果您认为性能影响值得花时间尝试优化,那就这样做吧。如果没有,你就完成了!
答案 1 :(得分:7)
用户是否使用用户名和密码登录?如果是这样,我认为值得保护。毕竟,用户可能最终使用他们在其他地方用于安全目的的密码。我知道他们不应该,但是......
现在假设某人正在窥探你无保护的对话。他们获取您网站的用户密码,使用它登录敏感网站,然后他们就会关闭......
如果您不想加密信息(并且我确实理解获取有效证书等等有点痛苦),那么至少要让用户非常清楚他们的数据是未加密的,并且强烈要求他们不要使用他们在别处使用的密码。
答案 2 :(得分:6)
如果您担心您的客户黑客攻击您的数据传输ssl什么都不买。它的频道安全性,如果他们拥有客户端,在中间会话中设置一个人,他们可以查看未加密的传输,这是相对微不足道的。 如果您担心用户攻击其他用户的数据传输,那么ssl是一个很好且相对简单的安全措施。
答案 3 :(得分:2)
应该使用SSL,因为您不知道将来会发生什么漏洞或问题。
机密性只是考虑您是否需要SSL的一种方式,如果您要传输任何个人数据,那么我会希望它是安全的。在某些国家/地区,您可能因未使用SSL而违反了数据保护法。
还有其他方法可以保护您传输的数据,例如在传输和解密服务器之前使用PGP密钥加密有效负载。
答案 4 :(得分:1)
没有。如果玩家X不在玩家Y和服务器之间,那么他通过黑客攻击方式获得的唯一数据就是服务器发送给玩家X的数据。而且该数据根本不受保护,因为他的机器必须是能够提取它无论如何。您也可以将其压缩而不是使用SSL:保护级别不会有太大差异。相反,只要确保你不向玩家X发送他不应该拥有的任何数据。某人不可能在游戏中使用中间人攻击类型。
答案 5 :(得分:1)
如果知道游戏不公平,因为它不安全,我担心除了作弊者之外,任何人都不会对它感兴趣。
除了保护数据流之外,是否可以减少已发送的内容?还是压缩它?
答案 6 :(得分:1)
需要更多信息才能做出明智的决策,但您不必使用SSL来保护数据。您始终可以在客户端和服务器或公钥/私钥之间使用其他算法和共享密钥。然后,您可以更好地控制要保护哪些位以及保留哪些位。
一般情况下,登录等内容应始终使用SSL加密。您可以通过SSL通道交换一组新密钥,然后使用密钥切换到非SSL以保护敏感数据。
答案 7 :(得分:1)
某些人认为SSL可以解决(几乎)不存在的问题。实际挖掘电线并提取未加密的信息非常困难。几乎没有人这样做。
如果你看一下从网上商店购买的情况,更有可能发生的是,他们入侵服务器,并下载整个交易数据库。在理想的系统中,您甚至不会将您的信用卡凭证发送给经销商,只需来自信用卡公司的签名证书即表明该交易已被授权。然而,在互联网的早期,事实证明,设置系统太难了,但这将是更正确的解决方案。最后,他们选择了效率较低但更容易实施的系统。
现在回答你的问题。在您的情况下,我看不到SSL提供太多。如果有人想要设置一个程序来监视发送到网络或从网络发送的内容,它仍然可以完成,因为它们可以放置钩子以在数据实际加密之前捕获数据。如果你担心第三方或他们正在反对的对手,嗅探线路以找出他们无法访问的游戏信息,例如其他团队的队友之间的聊天。好吧,我会说风险很小,不值得解决。
答案 8 :(得分:0)
除了有关在传输过程中加密用户名和密码的说明外,SSL还会以牺牲每个请求的开销为代价来阻止Man in the Middle attacks。
问题在于,您必须有一些方法让客户知道您的特定证书是有效的......或者更准确地说,它是您游戏中唯一有效的证书。
这也带来了一个问题,即当新证书在旧证书到期后替换旧证书时,你如何告诉游戏。
但是,严重的是,除非这是某种类型的订阅游戏,否则SSL可能有点过分。