Security SSL真的值得吗？

我想知道是否应该在服务器和客户端之间添加SSL层。我没有处理任何机密数据，但有人可能会为了获取情报而窃听传输（顺便说一句，这是一个游戏）。现在，与一个小型网站相比，要处理的数据量是相当大的，虽然增加的安全性可能很好，但最有可能的黑客是用户自己，所以我觉得SSL将是浪费时间，但我想听听其他人的经验

---

谢谢

这听起来像是一个优化问题。如果您认为有价值的信息，请从SSL（一种相对容易尝试的安全解决方案）开始。一旦你的工作正常，测试系统是否有问题。如果您觉得性能问题值得花时间尝试优化，那么就这样做。如果没有，你就完了

用户是否使用用户名和密码登录？如果是这样，我认为它值得保护。毕竟，用户最终可能会使用他们在其他地方出于安全目的而使用的密码。我知道他们不应该，但是

现在假设有人在窥探你未受保护的对话。他们获取你网站的用户密码，用它登录敏感网站，然后他们就离开了

---

如果您不想对信息进行加密（我也明白，获得有效证书等会有点痛苦），那么至少有必要向用户明确说明他们的数据未加密，并强烈敦促他们不要使用其他地方使用的密码。

否。如果播放器X不在播放器Y和服务器之间，通过黑客攻击你所说的方式，他能得到的唯一数据是服务器发送给玩家X的数据。而这些数据根本不可保护，因为他的机器必须能够以任何方式提取数据。您也可以只压缩它，而不使用SSL：保护级别不会有太大差异。取而代之的是，确保你没有向玩家X发送任何他不应该拥有的数据。不太可能有人在游戏中使用中间人类型的攻击。

如果游戏因为不安全而被认为是不公平的，我担心除了作弊者之外，其他人对它不再感兴趣

---

除了保护数据流之外，是否有可能减少您已经发送的内容？或者压缩它？

应该使用SSL，因为您不知道将来会发生什么漏洞利用或问题

保密性只是考虑您是否需要SSL的一种方式，如果您正在传输任何个人数据，那么我希望它是安全的。在某些国家/地区，不使用SSL可能会违反数据保护法律

---

还有其他保护您传输的数据的方法，例如在传输前使用PGP密钥加密有效负载，并在服务器上解密。

如果您担心客户端黑客攻击您的数据传输，ssl不会为您带来任何好处。它的信道安全性，如果它们拥有客户端，那么在中间会话中设置一个可以查看未加密的传输的人是相当微不足道的。

---

如果您担心用户攻击其他用户的数据传输，那么ssl是一种良好且相对简单的安全措施。

需要更多信息才能做出明智的决定，但您不必使用ssl来保护数据。您可以始终在客户端和服务器之间使用另一种算法和共享密钥，或者使用公钥/私钥。这样，您就可以更好地控制哪些位需要保护，哪些位需要打开

---

一般来说，登录之类的东西应该始终使用SSL加密。您可以通过SSL通道交换一组新的密钥，然后使用密钥切换到非SSL以保护敏感数据。

有些人认为SSL可以解决（几乎）不存在的问题。实际上很难窃听并提取未加密的信息。几乎没有人这样做

如果你看看从网上商店购买的案例，更可能发生的是，他们侵入服务器，下载整个交易数据库。在一个理想的系统中，你甚至不会将你的信用卡凭证发送给转销商，只需一份信用卡公司的签名证书，表明交易已经获得授权。然而，在互联网的早期，这被证明是一个很难建立的系统，但这将是更正确的解决方案。最后，他们选择了效率较低但更容易实施的系统

---

现在谈谈你的问题。在您的情况下，我看不到SSL提供了多少。如果有人想设置一个程序来监控发送到网络或从网络发送的内容，这仍然可以做到，因为他们可以在数据真正加密之前放置钩子来捕获数据。如果你担心第三方，或者他们正在对抗的对手，嗅探电线，找出他们不应该接触到的游戏信息，比如其他团队的队友之间的聊天。嗯，我想说的是，风险非常小，不值得解决

除了关于在传输过程中加密用户名和密码的说明外，SSL还可以防止以增加每个请求的开销为代价

问题是，您必须有某种方式让客户端知道您的特定证书是有效的。。。或者更准确地说，它是您游戏中唯一有效的

这也带来了一个问题：当旧证书过期后，当新证书替换旧证书时，如何告知游戏

---

不过，说真的，除非这是一个订阅游戏，否则SSL可能是杀伤力过大。

不，他们没有。你不需要SSL来散列用户名和密码。布莱恩-那是垃圾！散列仅在保护数据库中的密码时才真正有用，因为用户名通常需要在输入时发送