Meteor は、Secure Remote Password Protocol (SRP) を使用してユーザーを認証します。Meteor のドキュメントには、提供されるセキュリティのレベルに関してこれ以上の主張はありませんが、SSL/TLS を必要とせずに SRP がセキュリティを提供できるかどうか疑問に思っていました。SRP に関するウィキペディアのページには、次のように記載されています。
...盗聴者または中間の男は、パスワードを推測するたびに当事者とさらに対話することなく、パスワードをブルート フォースで推測できるようにするのに十分な情報を取得できません...
セキュリティについてほとんど知らないことは認めますが、その使用に関する推奨事項は見つかりませんでした。
どうもありがとう
SRP はパスワードの交換のみを目的としています。より正確には、通信の両端が同じ共有秘密を所有していることを純粋に保証し、盗聴者や途中の人間が共有秘密を推測する方法を許可しないためです。双方向認証なので、(たとえば) サーバーにログインした場合、そのサーバーが本当にログインしたかったサーバーであることがわかり、私が正しいパスワード。
ただし、SSL/TLS のような関係者間の暗号化された接続を作成することはありません(作成しようとさえしません)。傍受者は、私の代わりにログインするためのパスワードに関する十分な情報を取得することはできません (または、他のユーザーがログインするためのサーバーを模倣します) が、(それ自体で) 以降の通信を暗号化することはありません。 SRP 自体は、接続を介して渡されるすべてのデータを読み取ることができます。