Безопасно ли использовать getSocket js?

Question

[michaelromanov90]

Добрый день. Я делаю сайт, и реализовал в нём обмен личными сообщениями (чат)

Использовал Ratchet на стороне php. На стороне js работает WebSocket.

Я опасаюсь, что 3и лица могут прослушивать порт :8080

Возможно ли это? Можно ли делать это из консоли отладчика браузера?

Честно говоря, я не шарю в безопасности как следовало бы. Поможет ли в данном случае переход на https? (ws->wss) И как закрыть консоль отладчика как это сделано в фейсбук?

Я конечно, не банк приложение делаю, и не думаю, что мои проекты все захотят взломать, но хочется понять риски на перспективу..

Answer 1

[Виктор]

Конечно порт 8080 можно прослушать.
Закрытие консоли не как не повысит безопасность.
Правильным решением будет отправлять данные только тем пользователям которые имеют доступ к этим данным, а не слать всё и всем а потом в js решать показывать или не показывать.
Переход на wss позволит защетить пользователей от прослушки и подмены трафика, точно так же как и переход на https защищает http трафик.

Comments

[michaelromanov90]

Т.е. 8080 при wss всё таки, прослушать нельзя? При таком раскладе можно оставить решение как есть, просто позаботиться об https?

пс: переделывать мне не лень, просто я не знаю как вообще возможно раздавать данные избирательно и при этом иметь чат без задержек. иначе ведь при поступлении скажем id пользователя (вместо всего сообщения), придётся адресовать ajax запрос по этому id. А это постоянные запросы, отправки заголовков, задержки...

Или нет, можно при таком решении (Ratchet + WebSocket) отправлять данные избирательно? Но тогда я ничего не понимаю))

[Виктор]

michaelromanov90, Единственное от чего защищает https это Man in the middle (MITM)

С Ratchet я не знаком так что не скажу как правильно в нём решить эти проблемы. Я занимаюсь разработкой проекта https://comet-server.com/ который решает схожие функции с Ratchet но написан на C++ и скажу что там возможность доставки сообщений не абы кому, а конкретным людям есть из коробки.

[michaelromanov90]

Виктор, C++.. Мне до Вас далеко со своим php) Прям завидую) Поизучаю ресурс. Спасибо)

[Виктор]

michaelromanov90, Спасибо.
Хоть комет сервер на C++ но апи у него сделано в стиле sql запросов. И его очень просто использовать из любого языка. Хоть php хоть bash хоть что то ещё.