我正在使用Socket.IO
为了在Port 3000到HTTPS进行通信,我需要传递我的SSL Key和证书文件。
Socket.IO是一个开源项目,我不知道允许它访问我的证书和密钥文件等安全文件是多么值得信赖。
以下是由Socket.IO在服务器端运行的nodeJS代码:
var fs = require('fs');
var https = require('https');
var express = require('express');
var app = express();
var options = {
key: fs.readFileSync('../chat/file.pem'),
cert: fs.readFileSync('../chat/file.crt')
};
var server = https.createServer(options, app);
var io = require('socket.io')(server);
Socket.IO安全使用是否安全?如果没有,建议哪些方法使其安全?
非常感谢任何帮助。谢谢。
答案 0 :(得分:2)
首先,您必须决定是否信任socket.io。它是您在服务器上运行的代码。如果它是流氓,它可以为您的服务器环境做各种事情,而不仅仅是您的SSL密钥。所以,这根本不是一个SSL密钥问题。这只是一个关于你是否信任socket.io的问题。它被许多其他服务器使用。如果有一个已知的理由不相信其代码,那么这将是公平共享的。所以,我想你可以说,没有众所周知的理由不相信它。
其次,大多数人信任开源项目比他们信任闭源项目更多,因为所有人都可以仔细阅读和研究来源,这些项目中任何故意的恶意或恶意代码都可能会被那些关注这些项目的人发现。项目。对于封闭源项目,您必须在某种程度上盲目相信您获得闭源工具的公司的意图和技能。公开审查封闭源代码没有机会。我之所以提到这一点,是因为你的问题暗示开源代码可能不如其他类型的代码那么安全,而且我不同意这种含义。
第三,你实际上并没有把你的SSL密钥交给socket.io。您将它们传递给https模块,以便它可以创建您的服务器。该模块内置于node.js.因此,在这种情况下,您确实决定是否信任node.js(这也是一个开源项目)。创建服务器之后,然后将已创建的服务器传递给socket.io模块,以便它可以附加事件监听器。
Socket.IO可以安全使用,安全吗?
对此没有通用的答案。与几乎所有安全事项一样,它完全取决于您要保护的内容以及您要保护它的内容,并且它在很大程度上取决于您的实现细节。
socket.io,简而言之就是webSocket上的消息传递层。
有哪些建议的方法可以确保安全?
同样,对此没有完全通用的答案。保护socket.io连接的大部分与保护Web服务器完全相同。保护您的服务器安装并访问它。使用SSL保护传输。保护对SSL密钥的访问。设计您的应用程序智能地使用所有这些工具。弄清楚您正在尝试保护的内容以及您尝试保护它的内容,并与该领域的专家进行非常详细的安全审核。