我有一个简单的websocket服务器,我目前XOR字节提供简单的加密,以防止数据篡改,嗅探,没有AES,没有其他密码算法 - 无论如何,密钥可以进行逆向工程 . 当我谷歌“如何保护websockets”我只得到一个答案:SSL / TLS . 使用SSL要求我生成证书以便使用它,协议为我处理加密,所以我不必自己调用我的加密/解密函数 . 我不明白这两种方法之间的区别 . 证书确保我们连接的服务器是正确的 - 我是对的 - 它们就像身份证 . 但我很困惑 . 我的简单服务器真的需要SSL吗?我的客户端是用C语言编写的,websocket服务器是在Node.js上 . 我打算稍后为它做一个webclient .
1 回答
SSL / TLS是正确的,并且经过了很好的审查 . 创建具有同等安全性的解决方案的可能性接近于0.但是,您可能有多年的开发加密解决方案的全职经验,但之后不会问这个问题 .
回答:“我的简单服务器真的需要SSL吗?”是的,如果您需要安全性
参见“施奈尔定律”的评论,