Добрый день. Я делаю сайт, и реализовал в нём обмен личными сообщениями (чат)
Использовал Ratchet на стороне php. На стороне js работает WebSocket.
Я опасаюсь, что 3и лица могут прослушивать порт :8080
Возможно ли это? Можно ли делать это из консоли отладчика браузера?
Честно говоря, я не шарю в безопасности как следовало бы. Поможет ли в данном случае переход на https? (ws->wss) И как закрыть консоль отладчика как это сделано в фейсбук?
Я конечно, не банк приложение делаю, и не думаю, что мои проекты все захотят взломать, но хочется понять риски на перспективу..
Конечно порт 8080 можно прослушать.
Закрытие консоли не как не повысит безопасность.
Правильным решением будет отправлять данные только тем пользователям которые имеют доступ к этим данным, а не слать всё и всем а потом в js решать показывать или не показывать.
Переход на wss позволит защетить пользователей от прослушки и подмены трафика, точно так же как и переход на https защищает http трафик.
Т.е. 8080 при wss всё таки, прослушать нельзя? При таком раскладе можно оставить решение как есть, просто позаботиться об https?
пс: переделывать мне не лень, просто я не знаю как вообще возможно раздавать данные избирательно и при этом иметь чат без задержек. иначе ведь при поступлении скажем id пользователя (вместо всего сообщения), придётся адресовать ajax запрос по этому id. А это постоянные запросы, отправки заголовков, задержки...
Или нет, можно при таком решении (Ratchet + WebSocket) отправлять данные избирательно? Но тогда я ничего не понимаю))
С Ratchet я не знаком так что не скажу как правильно в нём решить эти проблемы. Я занимаюсь разработкой проекта https://comet-server.com/ который решает схожие функции с Ratchet но написан на C++ и скажу что там возможность доставки сообщений не абы кому, а конкретным людям есть из коробки.
michaelromanov90, Спасибо.
Хоть комет сервер на C++ но апи у него сделано в стиле sql запросов. И его очень просто использовать из любого языка. Хоть php хоть bash хоть что то ещё.
Средний
