Как максимально обезопасить socket.io от подключений снаружи?

Question

[jsonuser]

Как можно максимально обезопасить сокет ио от подключений снаружи? Т.е чтобы дофига умные пользователи не могли подключится к сокету, а доступ был только при подключении с сайта.

Comments

[Ярослав Иванов]

Как вариант передавать что-то на сервер, что позволит проверить авторизованный пользователь или нет.

Клиент

let socket = new io("http://localhost:7777", { query: "id=123" });

Сервер

io.on("connection", socket => {
    let id = socket.handshake.query.id;
    console.log(id) // 123
})

Пример проекта: https://github.com/space2pacman/pacman-chat

Answer 1

[Антон Антон]

никак

Answer 2

[nowm]

При подключении можно просить пользователя пройти reCAPTCHA v3 (та, которая невидимая). Сам токен рекаптчи можно передавать в качестве GET-параметра во время подключения к сокет-серверу. Плюсы в том, что обычные пользователи не будут видеть никакую каптчу и им не нужно жать на «я не робот». Минусы: иногда возможны false positive, время соединения немного увеличивается, потому что вы на серверной стороне делаете запрос к рекаптче, чтобы верифицировать токен, да и инициализация рекаптчи в браузере тоже не мгновенная.

Пока каптча не пройдена, данное конкретное сединение не должно подключаться ни к каким комнатам, для него не должно слушаться никаких событий и так далее. Вся эта инициализация проходит только после того, как вы проверили каптчу.

Работает более или менее надёжно.

Если вы самостоятельно добавляете какие-то GET-параметры, чтобы типа «отличить» робота от неробота, не забывайте про то, что автору робота никто не мешает посмотреть исходники или сделать реверс-инжиниринг соединения и внести небольшие изменения в свой код. Фишка рекаптчи в том, что её сложно автоматизировать, и токены, которые она генерирует, всегда разные.

Comments

[profesor08]

берется из инпута id капчи и используется в новом подключении к сокету. Челендж можно запустить заране из браузера.

А делать проверку рекапчи на каждую попытку отправить данные - дорого.

[nowm]

profesor08, рекаптчу вообще можно разными способами добавлять. Вы в этом коде видите где-нибудь инпуты? (код показывался только для иллюстрации и сейчас удалён, потому что является частью коммерческого проекта)

[nowm]

profesor08, не на наждую отправку данных. Только на этапе подключения к сокету.

[nowm]

Обойти этот механизм можно, но он помогает избавиться от большинства ботоводов с низкой технической подготовкой. В целом, борьба с ботами — это комплекс подходов, а не только использование каптчи. У ботов, которые умеют обходить рекаптчу, есть определённые поведенческие шаблоны, которые можно заметить, если анализировать то, как они взаимодействуют с сокетом. Это тяжело технически достичь, но возможно. В любом случае, борьба с ботами — это постоянный процесс гонки вооружений, а не «сделал один раз защиту и забыл».

[profesor08]

nowm, так есть когда в скрытый инпут подставляют ответ от рекапчи и передают с формой. Но можно держать в памяти его и передавать в ajax запросом. Разницы особо никакой, для ботовода, и так и так копать код.

Answer 3

[Ярослав Иванов]

Как вариант передавать что-то на сервер, что позволит проверить авторизованный пользователь или нет.

Клиент

let socket = new io("http://localhost:7777", { query: "id=123" });

Сервер

io.on("connection", socket => {
    let id = socket.handshake.query.id;
    console.log(id) // 123
})

Пример проекта: https://github.com/space2pacman/pacman-chat

Comments

[profesor08]

открываю девтулзы, смотрю что передается, повторяю с локалки.

[Ярослав Иванов]

profesor08, защита от неавторизованных пользователей.