node.js - 将我的 SSL key 和证书文件传递给 Socket.IO 是否安全？

Question

我正在使用 Socket.IO 构建网络聊天

为了通过 HTTPS 在 Port 3000 上进行通信，我需要传递我的 SSL Key 和证书文件。

Socket.IO 是一个开源项目，我不知道允许它访问我的证书和 key 文件等安全文件的可信度如何。

这是 Socket.IO 中的代码，由 nodeJS 在服务器端运行:

var fs = require('fs');
var https = require('https');

var express = require('express');
var app = express();

var options = {
  key: fs.readFileSync('../chat/file.pem'),
  cert: fs.readFileSync('../chat/file.crt')
};

var server = https.createServer(options, app);
var io = require('socket.io')(server);

Socket.IO 使用安全吗？如果不是，建议采用哪些方法来确保安全？

如有任何帮助，我们将不胜感激。谢谢。

Answer 1

首先，您必须决定您是否完全信任 socket.io。它是您在服务器上运行的代码。如果它是流氓，它可以对您的服务器环境做各种各样的事情，而不仅仅是您的 SSL key 。所以，这根本不是真正的 SSL 关键问题。这只是关于您是否信任 socket.io 的问题。它被许多其他服务器使用。如果有一个已知的理由不信任它的代码，那将被公开分享。所以，我猜你会说，没有众所周知的理由不信任它。

其次，与闭源项目相比，大多数人更信任开源项目，因为源代码可供所有人细读和研究，并且这些项目中任何故意流氓或恶意代码很可能会被那些关注这些项目的人发现项目。而对于闭源项目，您必须在某种程度上盲目地相信您从中获得闭源工具的公司的意图和技能。没有机会公开审查封闭的源代码。我提到这一点是因为您的问题暗示开源代码可能不如其他类型的代码安全，而我不同意这种暗示。

第三，您实际上根本没有将此处的 SSL key 交给 socket.io。您将它们传递给 https 模块，以便它可以创建您的服务器。该模块内置于 node.js 中。因此，在这种情况下，您实际上是在决定是否信任 node.js(这也是一个开源项目)。创建服务器后，将已创建的服务器传递给 socket.io 模块，以便它可以为其附加事件监听器。

Is Socket.IO is safe to use, security-wise?

对此没有通用的答案。与几乎所有安全事物一样，这完全取决于您试图保护什么以及您试图保护它免受什么影响，并且在很大程度上取决于您的实现细节。

socket.io，简而言之就是 webSocket 之上的消息传递层。

What are the recommended ways to make it secure?

同样，对此没有完全通用的答案。保护 socket.io 连接的大部分内容与保护 Web 服务器完全相同。保护您的服务器安装和访问。使用 SSL 保护传输。保护对 SSL key 的访问。智能地设计您的应用程序对所有这些工具的使用。弄清楚您要保护的内容以及您要防止的内容，并与该领域的专家一起进行非常详细的安全审查。