0

ですから、beanstalkd の好きなところは、小さく、軽量で、メッセージの優先度が高く、優れたクライアント セットがあり、使いやすいことです。

Beanstalkd について私が気に入らない点: ポートに接続できればメッセージを挿入できる認証手段がないこと。

したがって、私の考えでは、信頼できるシステムにファイアウォールを適用するか (これは維持するのが面倒で、アプリケーションの外部に別のレイヤーを追加するのが面倒です)、またはstunnelのようなものを使用して TLS/SSL でラップすることです(これにより、かなりのチャンクが発生します)。接続の確立に関するオーバーヘッドなど)。ジョブに署名することも考えました (ジョブ文字列の MD5 または SHA + 時間値 + ジョブに追加されたシークレット) が、攻撃者が偽のジョブでサーバーをあふれさせた場合、私はまだ問題を抱えています。攻撃者からの偽のメッセージの挿入から beanstalkd を保護する他の方法を考えられる人はいますか? 特に、計算上または管理上、多くのオーバーヘッドが発生しないもの。

4

3 に答える 3

0

あなたが言及している問題を軽減するために、私は2つのことを行います。

まず、常に 127.0.0.1 で beanstalkd を実行します

次に、通常はジョブ構造をシリアル化し、「秘密鍵」で暗号化された base64 ダイジェストをジョブ文字列として読み込みます。ジョブ文字列を正しく復号化できるワーカーのみがジョブを解析できます。

これは確かに認証の代わりにはなりません。しかし、エンキューされたジョブをハイジャックする人をある程度最小限に抑えてくれることを願っています。

于 2009-12-24T05:32:53.217 に答える