Websocket 对于网页之间的通信是否更安全？

Question

这可能听起来很天真，但我真的会发现描述性答案很有帮助。

所以，我的问题是：

我可以使用 Firebug 查看我访问的任何网站发出的 AJAX 请求。那么，如果网站选择使用 Websockets，我将无法检查客户端和服务器之间的相同通信，我这样说对吗？换句话说，这是否使其更安全？

Answer 1

不，一点也不。仅仅因为浏览器（尚）没有显示 WebSocket 流量的工具，并不意味着它会更安全。例如，您始终可以运行数据包嗅探器来监控流量。

Answer 2

不，因为除了浏览器内置工具之外，还有其他方法可以读取您的流量。

尝试一下：安装并运行 Wireshark，您将能够看到通过 Websockets 发送和接收的所有数据包。

Answer 3

取决于应用程序。如果您完全使用 Ajax，而无需重新加载数据文档，那么我认为 websockets 将为数据请求提供更好的身份验证，而不是关于连接劫持的 cookie 会话。当然，考虑到您正在使用 SSL。

Answer 4

1. 切勿依赖算法的保密性，因为它只会给您带来错误的安全感。 Wiki：隐匿性安全
2. 请记住，浏览器是我的计算机上的一个程序我是对发送给您的内容拥有完全控制权的人，而不是我的浏览器。
3. 我想 Firebug 等开发人员工具将提供一些用于浏览 WebSocket 发送/接收的数据的奇特工具，这只是时间问题（在我看来最多几个月）。

Answer 5

WebSockets 具有未加密 (ws://) 和加密模式 (wss://)。这类似于 HTTP 和 HTTPS。 WebSockets 协议有效负载只是 UTF-8 编码。从网络嗅探的角度来看，使用 WebSocket 没有任何优势（对所有敏感的内容使用 wss 和 HTTPS）。从浏览器的角度来看，使用 WebSocket 来保证安全并没有任何好处。知识渊博的用户可以检查（和修改）浏览器中运行的任何内容。现在用于检查 HTTP/AJAX 请求的工具恰好更好。