WebSocket 为什么不直接使用标准的 socket 的实现方式?

2013-02-20 17:28:06 +08:00
 tdwyx
WebSocket 为什么不直接使用标准的 socket,还要有自己的握手协议什么的,现有的server也不能直接连,弄得那么麻烦。
7066 次点击
所在节点    程序员
11 条回复
LazyZhu
2013-02-20 17:36:36 +08:00
nginx 1.3.13 支持了:
http://nginx.org/en/CHANGES
BOYPT
2013-02-20 17:44:25 +08:00
什么叫标准socket,socket在不同的os都有不同的实现和功能,不然你想有个网页能arp欺骗人家的路由器?
gamexg
2013-02-20 18:01:59 +08:00
为了安全。
tdwyx
2013-02-20 18:44:48 +08:00
@BOYPT arp工作于ip层,WebSocket只能使用tcp 工作在应用层,即使不用特有的握手之类的协议也是影响不到arp的吧
tdwyx
2013-02-20 18:47:32 +08:00
@gamexg 有哪些不安全的地方, 能给具体举例说明下吗?谢谢
BOYPT
2013-02-21 09:06:19 +08:00
@tdwyx 你不觉得他现在的设计能够充分利用到现有的80http端口,是非常有利于生态么
BOYPT
2013-02-21 09:07:30 +08:00
@tdwyx 按你说给个标准socket,是不是在个打浏览网页挂段代码就可以对特定一堆主机DDOS了
gamexg
2013-02-21 09:57:24 +08:00
@tdwyx 有很多系统的安全性依赖于ip地址的限制 。如果是 标准socket 入侵企业内网不需要费大工夫想尽办法弄个内部的肉鸡了,只要弄个网页通过客服之类的系统让内网用户打开就可以做很多事情了。
gamexg
2013-02-21 10:06:54 +08:00
几年前我们这里电信是固定内网ip上网,当时有很多同网段的 GhostXP 默认无密码把打印机都共享到内网了。

一般防火墙对内网的限制很少,标准socket 会照成严重的悲剧,例如在开发者或运维人员常去的网站上面推广个网站,在网站里面通过 标准socket 对同内网的主机做弱口令扫描,就好玩了。
tdwyx
2013-02-21 10:19:47 +08:00
@gamexg 那flash的那种 crossdomain.xml 的策略怎么样呢?

主要是WebSocket的协议确实挺别扭,比如我做一款游戏,iOS版、Android版都有了,现在想尝试做html5版的,结果不能直接使用现有的game server,还有单独给它弄个proxy很别扭
gamexg
2013-02-22 08:14:42 +08:00
Flash Socket安全问题的全面解析


http://wangleifire.iteye.com/blog/335034

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/60857

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX