The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

09.12.2010 16:42  В Firefox 4 и Opera 11 будет заблокирована поддержка протокола WebSockets

Разработчики Firefox и Opera приняли решение отключить поддержку протокола WebSockets, входящего в число спецификаций группы HTML5. Протокол WebSockets уже реализован в браузерах на базе движка WebKit, таких как Chrome/Chromium и Safari, и является одной из наиболее ожидаемых новинок Firefox 4 и Opera 11, так как позволяет решить проблему с организацией двустороннего обмена данными между web-приложением и сервером. Образно говоря, WebSockets является своеобразным аналогом TCP для Web и позволяет в произвольном порядке инициировать отправку данных от сервера к web-приложению, а не только от web-приложения к серверу.

Для аутентификации и обеспечения безопасности передачи данных в Web Sockets используются стандартные механизмы браузера. Сам протокол не использует сырые TCP-соединения, но и не работает поверх HTTP. Тем не менее соединение поддерживается в рамках единого с HTTP канала передачи данных, по которому не передается лишних HTTP заголовков, а соединение постоянно держится открытым. Установив WebSocket соединение между сервером и клиентом, разработчик может отправить данные из web-браузера выполнив метод send() и получить отправленные со стороны сервера данные через установку специального обработчика событий.

Причина блокирования протокола в Firefox и Opera связана с недавно обнаруженной уязвимостью в дизайне протокола WebSockets, открывающую возможность подмены содержимого кэша на работающих в прозрачном режиме прокси-серверах, путем выполнения определенной последовательности операций с использованием WebSockets (используя механизм HTTP Upgrade можно на этапе установки соединения передать порцию данных, которую прокси-cервер воспримет как HTTP-запрос/ответ). Применив представленную технику атаки, исследователи смогли инициировать в кэше прокси-сервера подмену JavaScript-блока сервиса Google Analytics. При открытии другими пользователями сайтов, обращающихся к данному счетчику, вместо оригинального JavaScript-кода, выдавался прокэшированный код экспериментаторов.

Вернуть поддержку WebSockets в Firefox и Opera планируется как только в протокол будут внесены соответствующие изменения (рекомендовано для согласования соединения вместо механизма HTTP Upgrade использовать метод CONNECT). Остается надеяться, что обновление спецификации WebSockets состоится раньше, чем будет произведена финальная заморозка кода Firefox 4 перед релизом (если исправления не будут внесены до релиза, то разработчики Mozilla готовы в последующем активировать WebSockets в рамках одного из корректирующих обновлений). Старая реализация WebSockets несмотря на отключение по умолчанию остается в составе Firefox и доступна для ручной активации через "about:config".

  1. Главная ссылка к новости (http://hacks.mozilla.org/2010/...)
  2. OpenNews: В ветку Firefox 4 добавлена поддержка web-сокетов
  3. OpenNews: В Google Chrome и WebKit появилась поддержка технологии web-сокетов
  4. OpenNews: Компания Google предложила надстройку для улучшения протокола HTTP
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: WebSockets, firefox, opera
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, Wormik (ok), 17:41, 09/12/2010 [ответить] [показать ветку] [···]    [к модератору]
  • +19 +/
    Поддерживаю. Молодцы, серьезные люди и серьезные продукты. А сокеты подождут!
     
     
  • 2.17, User294 (ok), 23:57, 09/12/2010 [^] [ответить]    [к модератору]
  • –2 +/
    Давно заметно что гуглу пофигу на проблемы пользователей. Подумаешь, пользователей поимеют. Гугл и так их имеет, сливая статистику и прочая направо-налево за бабки.
     
     
  • 3.20, Тот_Самый_Анонимус (?), 06:28, 10/12/2010 [^] [ответить]    [к модератору]
  • –2 +/
    То, что гуглу плевать на пользователей, согласен. Но то, что возможность надо отключать из-за одного ненадёжного варианта использования — бред.
     
     
  • 4.28, User294 (ok), 20:39, 10/12/2010 [^] [ответить]    [к модератору]
  • +/
    Нет, не бред. Как это будет на практике?
    1) Пров или корпоративный админ может воткнуть вам по пути прозрачный прокси, вообще забыв у вас спросить - "а можно ли?". И откаться от этой медвежьей услуги не слишком просто, кстати. Хомячки точно не смогут - хардкор типа своих проксиков на кастомном порту или впн для них шибко загрузно будет.
    2) Хакерье начнет радостно травить кеши на этих проксях.
    3) Миллионы хомяков начнут жесточайше иметь. Скорее всего угоняя у них аккаунты пачками, спамя от их лица и прочая. Заметьте, от них вообще при этом не требуется никаких неправильных действий.

    Вопрос на засыпку: а вам понравится если с вашего аккаунта поспамят весьма некисло, а потом еще и копирайченого матерьяльца на пару миллионов баксов выложат? А вы потом уворачивайтесь от посыпавшихся со всех сторон люлей, ага. Можно подумать, хаксоров, спамеров и прочих очень колебут ваши проблемы :). Гугла вот они тоже не колебут. Мозилла и опера выгодно отличаются в этом плане. Впрочем у гугла бардак с троянами и в других местах. В андроидовском сторе например полно троянообразных программ. Они еще и вебе хотят такой же срач развести? Можно подумать без них проблем мало.

     
     
  • 5.31, pavel_simple (ok), 22:57, 10/12/2010 [^] [ответить]     [к модератору]
  • +/
    устанут травить ксли это прозрачный кэш -- особенно устанут очитывая то, что обы... весь текст скрыт [показать]
     
     
  • 6.34, ksuit (?), 03:30, 12/12/2010 [^] [ответить]    [к модератору]  
  • +/
    >казалось-бы при чём тут гуг^W проблемы использования устаревших прокси решаются за счёт
    >современных браузеров -- подумай 294'ый -- ведь это явно не решение проблкмы.

    угу. "проблемы устаревших прокси". Вот сейчас все как ломанулись обновлять свои отработанные и действующие системы доступа ради того чтобы некая часть непринятого таки стандарта таки заработала...
    Да и не говорит Мозилла "вам это не надо и забудьте", Мозилла говорит "в том виде в котором есть сейчас - это опасно, но если вам это надо - врубайте сами на свой страх и риск".

     
     
  • 7.35, pavel_simple (ok), 20:39, 12/12/2010 [^] [ответить]    [к модератору]  
  • +/
    >>казалось-бы при чём тут гуг^W проблемы использования устаревших прокси решаются за счёт
    >>современных браузеров -- подумай 294'ый -- ведь это явно не решение проблкмы.
    > угу. "проблемы устаревших прокси". Вот сейчас все как ломанулись обновлять свои отработанные

    такие-же оработанyые как машинное масло?
    > и действующие системы доступа ради того чтобы некая часть непринятого таки
    > стандарта таки заработала...

    при чём тут стандарт на html5 если нарушен стандарт на работу самих прокси-сереров и не соблюдая его естm неслабая возможность предоставить ещё одну дыру для взлома.
    > Да и не говорит Мозилла "вам это не надо и забудьте", Мозилла
    > говорит "в том виде в котором есть сейчас - это опасно,
    > но если вам это надо - врубайте сами на свой страх
    > и риск".

    и казалось-бы при чём тут user294? - он хоnь иногда читает прежде чем пишет в отличии...

     
  • 5.36, Aqueelone (?), 12:40, 13/12/2010 [^] [ответить]    [к модератору]  
  • +1 +/
    1) Если корпоративный админ -- так на то он и админ чтоб ОТВЕЧАТЬ ЗА ВСЕ.
    Если провайдер ... это нарушение Прав Потребителя -- пишите в личку -- -взгреем провайдера по первое число.
    2) Нормальный человек через чужое прокси не ходит.
    Идя через чужое_прокси Вы пытаетесь представиться от ЭТОГО_ПРОКСИ, потому хозяин ЭТОГО_ПРОКСИ может делать ЧТО ОН ХОЧЕТ. (Даже пустить поверх протокола http:// 220 вольт --- если придумает как! :) )
    А кто отвечает за ВАШ_ПРОКСИ? Если он ВАШ -- то собственно ВЫ САМИ.
    Вообще, В НАШЕ ВРЕМЯ хождение вэбом через прокси -- это "ДУРНОЙ ТОН".
    3) При вождении машины нужно умение водить, которое проверяется при выдаче прав.
    >> Заметьте, от них вообще при этом не требуется никаких неправильных действий.

    Как это не требуется?
    Неправильные действия, приводящие к тому, что Вы написали:
    1. Отсутствие головы и логического мышления.
    2. Использование прокси.
    3. Использование плохого провайдера.
    4. Использование продуктов фирмы Микрософт.

    Чтоже в отношении Мозилы и Оперы... ну конечно респект --- сделано грамотно и корректно.

     
  • 1.2, pavlinux (ok), 18:31, 09/12/2010 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Эта чтоль?
    network.websocket.enabled
     
     
  • 2.4, анониммм (?), 19:02, 09/12/2010 [^] [ответить]    [к модератору]  
  • +1 +/
    и network.websocket.override-security-block в true
     
     
  • 3.5, pavlinux (ok), 19:17, 09/12/2010 [^] [ответить]    [к модератору]  
  • +/
    нету такой :(
     
     
  • 4.8, Аноним (-), 19:59, 09/12/2010 [^] [ответить]    [к модератору]  
  • +1 +/
    она появилась в сегодняшней найтли-сборке firefox'a, как и отключение вебсокетов, и будет в восьмой бете
     
     
  • 5.15, pavlinux (ok), 21:48, 09/12/2010 [^] [ответить]    [к модератору]  
  • +/
    > она появилась в сегодняшней найтли-сборке firefox'a, как и отключение вебсокетов,
    > и будет в восьмой бете

    Устроили там ромашку - включаем-невключаем :)

     
  • 1.7, Аноним123321 (ok), 19:34, 09/12/2010 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    отлично! правильно!!

    вот именно этим HTML5 отличается от Adobe Flash (...и других сильверлайтов и прочего вендорского Г):

    ...а именно: здесь (в W3C-стандартах) -- 10 раз подумают над безопасностью прежде чем будут реализовывать чтото!

    ...а не то что "функция для галочки" (Silverlight) чтобы потом на очередных конференциях (Microsoft для студентов и имбицилов) рассказывать что якобы продукт сделан для rich-media и просто блещщит числом функций! :-D

     
     
  • 2.9, Wormik (ok), 20:07, 09/12/2010 [^] [ответить]    [к модератору]  
  • +6 +/
    Это не HTML5, а решение тех, кто его реализовывает в своих продуктах. Так что хвалить стоит их, а не создателей спецификаций, допустивших ошибки и решающих их.
     
  • 2.11, Блуд (ok), 20:39, 09/12/2010 [^] [ответить]    [к модератору]  
  • –1 +/
    > вот именно этим HTML5 отличается от Adobe Flash (...и других сильверлайтов и прочего вендорского Г):
    > ...а именно: здесь (в W3C-стандартах) -- 10 раз подумают над безопасностью прежде чем будут реализовывать чтото!

    Что-то мне подсказывает, что оно уже есть, поэтому и реализовано в движке WebKit, а не реализовывать решили лишь две компании, так как решето. Так что не сильно-то и отличается.

     
  • 2.12, Аноним (-), 20:49, 09/12/2010 [^] [ответить]    [к модератору]  
  • +/
    > чем будут реализовывать чтото!

    они и не реализовывают ничего. они лишь выпускают стандарт

     
  • 1.10, Аноним (-), 20:34, 09/12/2010 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    > рекомендовано для согласования соединения вместо механизма HTTP Upgrade использовать метод CONNECT

    Однако, не из всех локаций доступен метод CONNECT на 80 порт. :(

     
     
  • 2.13, filosofem (ok), 20:50, 09/12/2010 [^] [ответить]    [к модератору]  
  • +1 +/
    В тех же "локациях" обычно и Upgrade не работает, поэтому не расстраивайтесь.
     
  • 1.14, Аноним (-), 21:10, 09/12/2010 [ответить] [показать ветку] [···]     [к модератору]  
  • +/
    Ура На самом деле, давно назревает аналог noscript в сумме enable cookies for ... весь текст скрыт [показать]
     
  • 1.16, Аноним (-), 22:41, 09/12/2010 [ответить] [показать ветку] [···]     [к модератору]  
  • +/
    Поясните пожалуйста, кто понял новость получается я могу написать программку ко... весь текст скрыт [показать]
     
     
  • 2.19, dss (?), 00:45, 10/12/2010 [^] [ответить]    [к модератору]  
  • +/
    Да-да, все так и есть.
    И я, честно говоря, не совсем понимаю, как запрет websockets в браузерах исправит «core issue is that some number of transparent proxies do not understand the HTTP Upgrade mechanism and therefore don't understand that the remaining bytes sent by the attacker on the socket are not HTTP.»
    Т.е. это не уязвимость протокола websockets, а уязвимость существующих проксей.
    И тем 8 пользователям, которых поимели, подсунув зловредный жаваскрипт, отключение вебсокетов никак не поможет.

    У меня даже в голове не укладывается, как можно быть такими идиотами…

     
     
  • 3.24, filosofem (ok), 09:58, 10/12/2010 [^] [ответить]    [к модератору]  
  • +/
    Кривые прокси уязвимы изнутри. Это значит, что ваш коллега или ваша жена, может отравить кэш этого прокси и таким образом подсунуть вам некий неправильный http://www.google-analytics.com/ga.js.
    Websocket делает их уязвимыми снаружи. Это значит, что не только ваш коллега за соседним столом, а любой киддис Вася может таким образом подсунуть вам некий неправильный http://www.google-analytics.com/ga.js.
     
     
  • 4.32, dss (?), 01:35, 11/12/2010 [^] [ответить]    [к модератору]  
  • +/
    Так в том же исследовании прекрасно описано, как тех же целей «ломания снаружи» можно достичь с явой и флэшом. И что, запретим по дефолту в браузерах флэш и яву?
    Только очень особые любди думают, что «безопасно» == «через жопу».
    Если ты делаешь в своей сетке transparent proxy, ты берешь на себя всю ответственность за обеспечение безопасности пользователей за ним. И если у тебя кривой прокси — это твой косяк, а не разработчиков спецификации протокола, который, между прочим, спецификаций HTTP не нарушает (почитайте rfc2616 про Upgrade).
    Запрещать протокол, соответствующий спецификации, потому что он ломает прокси, которые положили на спецификацию — это феерический идиотизм.
     
     
  • 5.33, filosofem (ok), 11:31, 11/12/2010 [^] [ответить]     [к модератору]  
  • +/
    А что прокси нарушают, какую спецификацию Ни в каком std не написано, что нельз... весь текст скрыт [показать]
     
  • 3.29, User294 (ok), 20:48, 10/12/2010 [^] [ответить]    [к модератору]  
  • +/
    > Т.е. это не уязвимость протокола websockets, а уязвимость существующих проксей.

    ... эксплуатируемая при помощи нового протокола про который они не знают, ага. Прокси это конечно не оправдывает, однако возможность впаривать хомякам неправильные куски того же гугля или иных популярных сайтов - трудно переоценить.

     
  • 1.18, devlink (?), 23:59, 09/12/2010 [ответить] [показать ветку] [···]    [к модератору]  
  • –2 +/
    ээээ... верните сокеты редиски.
    Когда уже нормально подумают над стандартом - недавно ввели новую версию, которая со старой несовместима, теперь opera и firefox отказываются.
     
     
  • 2.23, ugo (?), 08:56, 10/12/2010 [^] [ответить]    [к модератору]  
  • +3 +/
    Так они же не отказываются, они просто снимают с себя ответственность за потенциальные проблемы, не активируя по умолчанию данный функционал. Если Вам нужно, вы можете все включить, только потом не кричите, что Вам подсунули дырявое ПО.
     
  • 1.21, Аноним (-), 08:22, 10/12/2010 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Консорциум честно предупреждал, что НЕ стоит реализовывать HTML5, поскольку стандарт еще очень сырой и не обкатан, кроме того, еще будет огромное кол-во изменений стандарта.
    ССЗБ
     
     
  • 2.22, анони (?), 08:43, 10/12/2010 [^] [ответить]    [к модератору]  
  • +/
    Маркетинг будь он неладен
    Почти все уверены, что HTML5 сайт - это видео без флеша
     
  • 1.25, sluge (ok), 10:23, 10/12/2010 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    ну и правильно
     
  • 1.27, Аноним (-), 17:11, 10/12/2010 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Молодцы, всё правильно. А скачущим впереди паровоза надо дать хорошего пинка.
     
  • 1.30, Аноним (-), 22:48, 10/12/2010 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Судя по письму речь идёт об отравлении кэша прокси сервера через который прошёл запрос. Кому надо спокойно смогут это сделать тупо телнетом, а юзеры без сокетов и так огребут.
     
  • 1.37, Аноним (37), 23:10, 10/06/2011 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    hf
     
  • 1.38, Аноним (38), 16:33, 13/05/2012 [ответить] [показать ветку] [···]     [к модератору]  
  • +/
    Новая opera 11 64 http letitbit net download 54784 5a1624aaaf9e6e9d0a7fa96f99a... весь текст скрыт [показать]
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor