WebSocket pozwala na zatrucie cache przeglądarki. Opera i Firefox wyłączają jego obsługę

Pojawienie się technologii WebSocket producenci nowoczesnych przeglądarek przyjęli z niemałym entuzjazmem. Ostatecznie możliwość rozmów między serwerem a przeglądarką po stale otwartym, dupleksowym połączeniu TCP, to prawdziwy przełom, pozwalający m.in. na innowacyjnych aplikacji webowych do komunikacji w czasie rzeczywistym. Niestety – odkrycie Adama Bartha z Internet Engineering Task Force obnażyło lukę w protokole, która zmusza jak na razie producentów do rezygnacji z WebSocket.

Adam Barth przedstawił kilka różnych rodzajów ataków na protokół, który może być wykorzystany przez intruza do zatrucia pamięci cache. Jest to poważne zagrożenie dla użytkowników Sieci, korzystających z przeglądarek z obsługą WebSocket, zwłaszcza że problem nie jest związany z konkretnym browserem.

Luki w protokole wpływają również na JavaScript i Flash. Oznacza to, że łatwo można podmienić znajdujący się w cache popularny skrypt JS – np. Google Analytics – na plik ze złośliwym oprogramowaniem. Trudno w tej sytuacji wyśledzić źródło ataku jak i zabezpieczyć się przed nim. Jedynym możliwym rozwiązaniem tej sytuacji jest naprawa i zabezpieczenie protokołu WebSocket.

Z tego też powodu programiści Firefoxa zdecydowali się wyłączyć obsługę WebSocket w Firefoksie 4, począwszy od wersji beta 8. Poszli w ten sposób w ślady Opery – nieco wcześniej programista tej firmy Anne van Kesteren poinformował, że również Opera wycofuje się z wsparcia dla WebSocket. Co zrobią programiści Safari i Chrome jeszcze nie wiadomo, ale można sądzić, że postąpią tak samo.

Developerzy, którzy postanowili w swoich aplikacjach wykorzystać WebSocket, powinni wycofać się z tego, póki protokół w ulepszonej wersji nie wróci do przeglądarek. Mozilla wraz z IETF już pracują nad poprawkami, jednak nie wiadomo, kiedy będzie można spodziewać się ich implementacji.

źródło: Hacks.mozilla.org

Podoba Ci się ten tekst? Powiedz o tym innym na Fb: lub na G+:

publikuj:

wydrukuj

4 skomentuj »

Komentarze

#1 gdf 2010-12-10 11:48:36 0
Tak się kończy implementowanie draftów (czy w tym przypadku bardzo wczesnych draftów). Nie wiem skąd ta moda naszła, że najpierw impelemntujemy a później dopasowujemy standard do implementacji. Po co w takim razie standard? CHyba najpierw powinien być standard (skończony standard) a później można go implementować. Ta moga z HTML5 przeraża mnie...
IP: 212.33.72.[...] Mozilla/5.0 (Windows; U; Windows NT 5.1; pl; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12
#2 klm2 2010-12-10 12:23:50 1
Racja, tylko, z drugiej strony, wprowadzanie zmian i niedokończonych draftów przyspiesza ich rozwój. Inaczej czekalibyśmy sobie i czekali. Nie wykryje się tylu błędów, dopóki się czegoś nie spopularuzuje i nie sprawdzi.. Taka jest druga strona medalu tej kwestii
IP: 79.186.251.[...] Mozilla/5.0 (Windows; U; Windows NT 6.0; pl; rv:1.9.2.13) Gecko/20101203 Firefox/3.6.13 (.NET CLR 3.5.30729)
#3 @gdf @klm2 2010-12-10 14:18:15 0
Webworkers - historia pewnego projektu jako zabawna animacja :)

http://www.xtranormal.com/watch/7991991/
IP: 90.156.104.[...] Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US) AppleWebKit/534.10 (KHTML, like Gecko) Chrome/8.0.552.215 Safari/534.10
#4 omamo 2010-12-13 17:35:25 0
O rany, to będzie obsuwa.
IP: 89.72.25.[...] Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.9.2.13) Gecko/20101206 Haaa!/</body> (<b>Dupaaa</b>) Haaa!

Aby dodać komentarz, musisz podać swój nick, treść komentarza oraz poprawnie przepisać oba słowa z obrazka (słowa muszą być rozdzielone spacją).
W treści komentarza można używać języka formatowania BBcode.