В Firefox 4 и Opera 11 будет заблокирована поддержка протокола WebSockets
Для аутентификации и обеспечения безопасности передачи данных в Web Sockets используются стандартные механизмы браузера. Сам протокол не использует сырые TCP-соединения, но и не работает поверх HTTP. Тем не менее соединение поддерживается в рамках единого с HTTP канала передачи данных, по которому не передается лишних HTTP заголовков, а соединение постоянно держится открытым. Установив WebSocket соединение между сервером и клиентом, разработчик может отправить данные из web-браузера выполнив метод send() и получить отправленные со стороны сервера данные через установку специального обработчика событий.
Причина блокирования протокола в Firefox и Opera связана с недавно обнаруженной уязвимостью в дизайне протокола WebSockets, открывающую возможность подмены содержимого кэша на работающих в прозрачном режиме прокси-серверах, путем выполнения определенной последовательности операций с использованием WebSockets (используя механизм HTTP Upgrade можно на этапе установки соединения передать порцию данных, которую прокси-cервер воспримет как HTTP-запрос/ответ). Применив представленную технику атаки, исследователи смогли инициировать в кэше прокси-сервера подмену JavaScript-блока сервиса Google Analytics. При открытии другими пользователями сайтов, обращающихся к данному счетчику, вместо оригинального JavaScript-кода, выдавался прокэшированный код экспериментаторов.
Вернуть поддержку WebSockets в Firefox и Opera планируется как только в протокол будут внесены соответствующие изменения (рекомендовано для согласования соединения вместо механизма HTTP Upgrade использовать метод CONNECT). Остается надеяться, что обновление спецификации WebSockets состоится раньше, чем будет произведена финальная заморозка кода Firefox 4 перед релизом (если исправления не будут внесены до релиза, то разработчики Mozilla готовы в последующем активировать WebSockets в рамках одного из корректирующих обновлений). Старая реализация WebSockets несмотря на отключение по умолчанию остается в составе Firefox и доступна для ручной активации через "about:config".
Источник: http://www.opennet.ru/opennews/art.shtml?num=28944
|
0 | Tweet | Нравится |
|