Улучшение безопасности в чате now.js/socket.io

Question

Чат с nowjs или socket.io - одно из самых простых упражнений, которые вы можете выполнять с ними. Я хочу реализовать многокомнатный чат (с нефиксированным количеством комнат и зарегистрированными пользователями), используя объекты nowjs Group.

Я еще не работал с WebSockets, и я хочу знать, какие проблемы безопасности существуют. Например, как часто мне приходится проверять подлинность?

Возможно, злоумышленник может «угнать» соединение socket.io и как его предотвратить?

Какие еще ловушки безопасности могут быть затронуты?

Answer 1

Человек-в-середине, безусловно, является предметом рассмотрения. Однако самой большой проблемой безопасности будет XSS.

This useful SO thread предлагает:

1. socket.io 0.8 имеет проверку ссылающейся построен в
2. , если чат от известного происхождения, блок лишние соединения на брандмауэре

This very informative article предлагает:

1. не доверяет ни одному клиенту
2. использование шифрования SSL
3. проверка происхождения
4. предотвратить XSS (санировать вход клиента!)
5. не предполагают, что это браузер

This useful thread говорит, чтобы установить безопасный: правда на Socket.io. connect (...)

Я бы рекомендовал принять все эти предложения :)