通过没有 TLS 或类似的套接字与 localhost 通信是不是安全？

Posted 2023-02-16

【中文标题】通过没有 TLS 或类似的套接字与 localhost 通信是不是安全？

【英文标题】：Is it secure to communicate with localhost via a socket without TLS or similar?通过没有 TLS 或类似的套接字与 localhost 通信是否安全？

【发布时间】：2012-08-20 15:37:05

【问题描述】：

我正在编写一个通过套接字连接实现分布式对象系统的库。我要求用户至少在通过网络通信时对发送的任何消息进行签名，否则攻击者可能会冒充参与者之一并远程调用另一个参与者的方法，这将是一件坏事。

这个库的主要用途是网络通信。但是，我想让一个“hello world”示例尽可能简单地在本地运行，而不会损害某人的机器。假设从连接到 localhost 的传入数据确实来自 localhost 而没有以其他方式保护它是否合理？是否还有其他原因可能不安全？

如果相关，我正在开发 OSX/ios。

【问题讨论】：

您是否使用 Unix 域套接字进行本地通信？

一般情况下不会。这个库的主要用途是网络通信。我只是想让一个“hello world”示例在本地运行而不损害某人的机器变得简单。将进行编辑以使其更清晰。

对不起，刚刚意识到unix域套接字与网络套接字不是一回事。在那种情况下，不，我根本没有使用它们。我在本地和远程的网络套接字上使用 tcp。

【参考方案1】：

除非您在机器上启用了远程登录，否则环回连接是安全的。用户可以使用ssh(1) 轻松重定向连接。

通过不验证来自环回的消息来使代码复杂化是否是一个好主意，这是您必须问自己的另一个问题。