我有一个简单的websocket服务器,我目前XOR字节提供简单的加密,以防止数据篡改,嗅探,没有AES,没有其他密码算法 - 无论如何,密钥可以进行逆向工程。当我谷歌"如何保护websockets"我只得到一个答案:SSL / TLS。使用SSL需要我生成证书才能使用它,协议为我处理加密,所以我不必自己调用我的加密/解密函数。我不明白这两种方法之间的区别。证书确保我们连接的服务器是正确的 - 我是对的 - 它们就像身份证。但我很困惑。我的简单服务器真的需要SSL吗?我的客户端是用C ++编写的,websocket服务器是在Node.js上。我计划以后再为它做一个webclient。
答案 0 :(得分:3)
SSL / TLS是正确的并经过严格审核。创建具有同等安全性的解决方案的可能性接近于0.但是,您可能有多年的全职开发加密解决方案的经验,但之后不会问这个问题。
回答:“我的简单服务器真的需要SSL吗?”是的,如果你需要安全保障。
参见“施奈尔定律”评论,