The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

В Firefox 4 и Opera 11 будет заблокирована поддержка протокола WebSockets

09.12.2010 16:42

Разработчики Firefox и Opera приняли решение отключить поддержку протокола WebSockets, входящего в число спецификаций группы HTML5. Протокол WebSockets уже реализован в браузерах на базе движка WebKit, таких как Chrome/Chromium и Safari, и является одной из наиболее ожидаемых новинок Firefox 4 и Opera 11, так как позволяет решить проблему с организацией двустороннего обмена данными между web-приложением и сервером. Образно говоря, WebSockets является своеобразным аналогом TCP для Web и позволяет в произвольном порядке инициировать отправку данных от сервера к web-приложению, а не только от web-приложения к серверу.

Для аутентификации и обеспечения безопасности передачи данных в Web Sockets используются стандартные механизмы браузера. Сам протокол не использует сырые TCP-соединения, но и не работает поверх HTTP. Тем не менее соединение поддерживается в рамках единого с HTTP канала передачи данных, по которому не передается лишних HTTP заголовков, а соединение постоянно держится открытым. Установив WebSocket соединение между сервером и клиентом, разработчик может отправить данные из web-браузера выполнив метод send() и получить отправленные со стороны сервера данные через установку специального обработчика событий.

Причина блокирования протокола в Firefox и Opera связана с недавно обнаруженной уязвимостью в дизайне протокола WebSockets, открывающую возможность подмены содержимого кэша на работающих в прозрачном режиме прокси-серверах, путем выполнения определенной последовательности операций с использованием WebSockets (используя механизм HTTP Upgrade можно на этапе установки соединения передать порцию данных, которую прокси-cервер воспримет как HTTP-запрос/ответ). Применив представленную технику атаки, исследователи смогли инициировать в кэше прокси-сервера подмену JavaScript-блока сервиса Google Analytics. При открытии другими пользователями сайтов, обращающихся к данному счетчику, вместо оригинального JavaScript-кода, выдавался прокэшированный код экспериментаторов.

Вернуть поддержку WebSockets в Firefox и Opera планируется как только в протокол будут внесены соответствующие изменения (рекомендовано для согласования соединения вместо механизма HTTP Upgrade использовать метод CONNECT). Остается надеяться, что обновление спецификации WebSockets состоится раньше, чем будет произведена финальная заморозка кода Firefox 4 перед релизом (если исправления не будут внесены до релиза, то разработчики Mozilla готовы в последующем активировать WebSockets в рамках одного из корректирующих обновлений). Старая реализация WebSockets несмотря на отключение по умолчанию остается в составе Firefox и доступна для ручной активации через "about:config".

  1. Главная ссылка к новости (http://hacks.mozilla.org/2010/...)
  2. OpenNews: В ветку Firefox 4 добавлена поддержка web-сокетов
  3. OpenNews: В Google Chrome и WebKit появилась поддержка технологии web-сокетов
  4. OpenNews: Компания Google предложила надстройку для улучшения протокола HTTP
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/28944-WebSockets
Ключевые слова: WebSockets, firefox, opera
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (35) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Wormik (ok), 17:41, 09/12/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +19 +/
    Поддерживаю. Молодцы, серьезные люди и серьезные продукты. А сокеты подождут!
     
     
  • 2.17, User294 (ok), 23:57, 09/12/2010 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Давно заметно что гуглу пофигу на проблемы пользователей. Подумаешь, пользователей поимеют. Гугл и так их имеет, сливая статистику и прочая направо-налево за бабки.
     
     
  • 3.20, Тот_Самый_Анонимус (?), 06:28, 10/12/2010 [^] [^^] [^^^] [ответить]  
  • –2 +/
    То, что гуглу плевать на пользователей, согласен. Но то, что возможность надо отключать из-за одного ненадёжного варианта использования — бред.
     
     
  • 4.28, User294 (ok), 20:39, 10/12/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Нет, не бред. Как это будет на практике?
    1) Пров или корпоративный админ может воткнуть вам по пути прозрачный прокси, вообще забыв у вас спросить - "а можно ли?". И откаться от этой медвежьей услуги не слишком просто, кстати. Хомячки точно не смогут - хардкор типа своих проксиков на кастомном порту или впн для них шибко загрузно будет.
    2) Хакерье начнет радостно травить кеши на этих проксях.
    3) Миллионы хомяков начнут жесточайше иметь. Скорее всего угоняя у них аккаунты пачками, спамя от их лица и прочая. Заметьте, от них вообще при этом не требуется никаких неправильных действий.

    Вопрос на засыпку: а вам понравится если с вашего аккаунта поспамят весьма некисло, а потом еще и копирайченого матерьяльца на пару миллионов баксов выложат? А вы потом уворачивайтесь от посыпавшихся со всех сторон люлей, ага. Можно подумать, хаксоров, спамеров и прочих очень колебут ваши проблемы :). Гугла вот они тоже не колебут. Мозилла и опера выгодно отличаются в этом плане. Впрочем у гугла бардак с троянами и в других местах. В андроидовском сторе например полно троянообразных программ. Они еще и вебе хотят такой же срач развести? Можно подумать без них проблем мало.

     
     
  • 5.31, pavel_simple (ok), 22:57, 10/12/2010 [^] [^^] [^^^] [ответить]  
  • +/
    > Нет, не бред. Как это будет на практике?
    > 1) Пров или корпоративный админ может воткнуть вам по пути прозрачный прокси,
    > вообще забыв у вас спросить - "а можно ли?". И откаться
    > от этой медвежьей услуги не слишком просто, кстати. Хомячки точно не
    > смогут - хардкор типа своих проксиков на кастомном порту или впн
    > для них шибко загрузно будет.
    > 2) Хакерье начнет радостно травить кеши на этих проксях.

    устанут травить ксли это прозрачный кэш -- особенно устанут очитывая то, что обычно корпо-прокси нормально прикрыты МСЭ или хотя-бы NAT.
    > 3) Миллионы хомяков начнут жесточайше иметь. Скорее всего угоняя у них аккаунты
    > пачками, спамя от их лица и прочая. Заметьте, от них вообще
    > при этом не требуется никаких неправильных действий.

    возьми бумажку и попробуй как твоя выдумка будет работать
    > Вопрос на засыпку: а вам понравится если с вашего аккаунта поспамят весьма
    > некисло, а потом еще и копирайченого матерьяльца на пару миллионов баксов
    > выложат? А вы потом уворачивайтесь от посыпавшихся со всех сторон люлей,
    > ага. Можно подумать, хаксоров, спамеров и прочих очень колебут ваши проблемы
    > :). Гугла вот они тоже не колебут. Мозилла и опера выгодно
    > отличаются в этом плане. Впрочем у гугла бардак с троянами и
    > в других местах. В андроидовском сторе например полно троянообразных программ. Они
    > еще и вебе хотят такой же срач развести? Можно подумать без
    > них проблем мало.

    казалось-бы при чём тут гуг^W проблемы использования устаревших прокси решаются за счёт современных браузеров -- подумай 294'ый -- ведь это явно не решение проблкмы.

     
     
  • 6.34, ksuit (?), 03:30, 12/12/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >казалось-бы при чём тут гуг^W проблемы использования устаревших прокси решаются за счёт
    >современных браузеров -- подумай 294'ый -- ведь это явно не решение проблкмы.

    угу. "проблемы устаревших прокси". Вот сейчас все как ломанулись обновлять свои отработанные и действующие системы доступа ради того чтобы некая часть непринятого таки стандарта таки заработала...
    Да и не говорит Мозилла "вам это не надо и забудьте", Мозилла говорит "в том виде в котором есть сейчас - это опасно, но если вам это надо - врубайте сами на свой страх и риск".

     
     
  • 7.35, pavel_simple (ok), 20:39, 12/12/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >>казалось-бы при чём тут гуг^W проблемы использования устаревших прокси решаются за счёт
    >>современных браузеров -- подумай 294'ый -- ведь это явно не решение проблкмы.
    > угу. "проблемы устаревших прокси". Вот сейчас все как ломанулись обновлять свои отработанные

    такие-же оработанyые как машинное масло?
    > и действующие системы доступа ради того чтобы некая часть непринятого таки
    > стандарта таки заработала...

    при чём тут стандарт на html5 если нарушен стандарт на работу самих прокси-сереров и не соблюдая его естm неслабая возможность предоставить ещё одну дыру для взлома.
    > Да и не говорит Мозилла "вам это не надо и забудьте", Мозилла
    > говорит "в том виде в котором есть сейчас - это опасно,
    > но если вам это надо - врубайте сами на свой страх
    > и риск".

    и казалось-бы при чём тут user294? - он хоnь иногда читает прежде чем пишет в отличии...

     
  • 5.36, Aqueelone (?), 12:40, 13/12/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    1) Если корпоративный админ -- так на то он и админ чтоб ОТВЕЧАТЬ ЗА ВСЕ.
    Если провайдер ... это нарушение Прав Потребителя -- пишите в личку -- -взгреем провайдера по первое число.
    2) Нормальный человек через чужое прокси не ходит.
    Идя через чужое_прокси Вы пытаетесь представиться от ЭТОГО_ПРОКСИ, потому хозяин ЭТОГО_ПРОКСИ может делать ЧТО ОН ХОЧЕТ. (Даже пустить поверх протокола http:// 220 вольт --- если придумает как! :) )
    А кто отвечает за ВАШ_ПРОКСИ? Если он ВАШ -- то собственно ВЫ САМИ.
    Вообще, В НАШЕ ВРЕМЯ хождение вэбом через прокси -- это "ДУРНОЙ ТОН".
    3) При вождении машины нужно умение водить, которое проверяется при выдаче прав.
    >> Заметьте, от них вообще при этом не требуется никаких неправильных действий.

    Как это не требуется?
    Неправильные действия, приводящие к тому, что Вы написали:
    1. Отсутствие головы и логического мышления.
    2. Использование прокси.
    3. Использование плохого провайдера.
    4. Использование продуктов фирмы Микрософт.

    Чтоже в отношении Мозилы и Оперы... ну конечно респект --- сделано грамотно и корректно.

     

  • 1.2, pavlinux (ok), 18:31, 09/12/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Эта чтоль?
    network.websocket.enabled
     
     
  • 2.4, анониммм (?), 19:02, 09/12/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    и network.websocket.override-security-block в true
     
     
  • 3.5, pavlinux (ok), 19:17, 09/12/2010 [^] [^^] [^^^] [ответить]  
  • +/
    нету такой :(
     
     
  • 4.8, Аноним (-), 19:59, 09/12/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    она появилась в сегодняшней найтли-сборке firefox'a, как и отключение вебсокетов, и будет в восьмой бете
     
     
  • 5.15, pavlinux (ok), 21:48, 09/12/2010 [^] [^^] [^^^] [ответить]  
  • +/
    > она появилась в сегодняшней найтли-сборке firefox'a, как и отключение вебсокетов,
    > и будет в восьмой бете

    Устроили там ромашку - включаем-невключаем :)

     

  • 1.7, Аноним123321 (ok), 19:34, 09/12/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    отлично! правильно!!

    вот именно этим HTML5 отличается от Adobe Flash (...и других сильверлайтов и прочего вендорского Г):

    ...а именно: здесь (в W3C-стандартах) -- 10 раз подумают над безопасностью прежде чем будут реализовывать чтото!

    ...а не то что "функция для галочки" (Silverlight) чтобы потом на очередных конференциях (Microsoft для студентов и имбицилов) рассказывать что якобы продукт сделан для rich-media и просто блещщит числом функций! :-D

     
     
  • 2.9, Wormik (ok), 20:07, 09/12/2010 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Это не HTML5, а решение тех, кто его реализовывает в своих продуктах. Так что хвалить стоит их, а не создателей спецификаций, допустивших ошибки и решающих их.
     
  • 2.11, Блуд (ok), 20:39, 09/12/2010 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > вот именно этим HTML5 отличается от Adobe Flash (...и других сильверлайтов и прочего вендорского Г):
    > ...а именно: здесь (в W3C-стандартах) -- 10 раз подумают над безопасностью прежде чем будут реализовывать чтото!

    Что-то мне подсказывает, что оно уже есть, поэтому и реализовано в движке WebKit, а не реализовывать решили лишь две компании, так как решето. Так что не сильно-то и отличается.

     
  • 2.12, Аноним (-), 20:49, 09/12/2010 [^] [^^] [^^^] [ответить]  
  • +/
    > чем будут реализовывать чтото!

    они и не реализовывают ничего. они лишь выпускают стандарт

     

  • 1.10, Аноним (-), 20:34, 09/12/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > рекомендовано для согласования соединения вместо механизма HTTP Upgrade использовать метод CONNECT

    Однако, не из всех локаций доступен метод CONNECT на 80 порт. :(

     
     
  • 2.13, filosofem (ok), 20:50, 09/12/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    В тех же "локациях" обычно и Upgrade не работает, поэтому не расстраивайтесь.
     

  • 1.14, Аноним (-), 21:10, 09/12/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ура. На самом деле, давно назревает аналог noscript (в сумме enable cookies for site, adblock и еще десятком плагинов), который работает как персональные фаирволы в венде и позволяет (дебилам) все разрешить, а кому надо - настроить посайтово всю возможную активность, включая cookies, storage, websockets, кэш и т.д.
    В идеале, должна быть возможность противостоять даже такой штуке, как evercookie (у меня даже при отсутствии noscript она сохраняется только в кэше).
     
  • 1.16, Аноним (-), 22:41, 09/12/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Поясните пожалуйста, кто понял новость:

    > используя механизм HTTP Upgrade можно на этапе установки соединения передать порцию данных, которую прокси-cервер воспримет как HTTP-запрос/ответ

    получается я могу написать программку которая будет слать такой же трафик как HTTP Upgrade и это позволит мне подменять любые страницы в кеше прокси?

     
     
  • 2.19, dss (?), 00:45, 10/12/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Да-да, все так и есть.
    И я, честно говоря, не совсем понимаю, как запрет websockets в браузерах исправит «core issue is that some number of transparent proxies do not understand the HTTP Upgrade mechanism and therefore don't understand that the remaining bytes sent by the attacker on the socket are not HTTP.»
    Т.е. это не уязвимость протокола websockets, а уязвимость существующих проксей.
    И тем 8 пользователям, которых поимели, подсунув зловредный жаваскрипт, отключение вебсокетов никак не поможет.

    У меня даже в голове не укладывается, как можно быть такими идиотами…

     
     
  • 3.24, filosofem (ok), 09:58, 10/12/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Кривые прокси уязвимы изнутри. Это значит, что ваш коллега или ваша жена, может отравить кэш этого прокси и таким образом подсунуть вам некий неправильный http://www.google-analytics.com/ga.js.
    Websocket делает их уязвимыми снаружи. Это значит, что не только ваш коллега за соседним столом, а любой киддис Вася может таким образом подсунуть вам некий неправильный http://www.google-analytics.com/ga.js.
     
     
  • 4.32, dss (?), 01:35, 11/12/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Так в том же исследовании прекрасно описано, как тех же целей «ломания снаружи» можно достичь с явой и флэшом. И что, запретим по дефолту в браузерах флэш и яву?
    Только очень особые любди думают, что «безопасно» == «через жопу».
    Если ты делаешь в своей сетке transparent proxy, ты берешь на себя всю ответственность за обеспечение безопасности пользователей за ним. И если у тебя кривой прокси — это твой косяк, а не разработчиков спецификации протокола, который, между прочим, спецификаций HTTP не нарушает (почитайте rfc2616 про Upgrade).
    Запрещать протокол, соответствующий спецификации, потому что он ломает прокси, которые положили на спецификацию — это феерический идиотизм.
     
     
  • 5.33, filosofem (ok), 11:31, 11/12/2010 [^] [^^] [^^^] [ответить]  
  • +/
    А что прокси нарушают, какую спецификацию? Ни в каком std не написано, что нельзя кэшировать по хостнэйму. Да и кэширование по ИП не дает никакой гарантии, что другие исследователи не смогут его эксплуатировать.

    >Так в том же исследовании прекрасно описано, как тех же целей «ломания снаружи» можно достичь с явой и флэшом. И что, запретим по дефолту в браузерах флэш и яву?

    Да, этот крап в вэбе не нужен.
    Так, между прочим, эксплойт вэбсокета через Upgrade тоже использует флэш.
    Так обычно и получается (и тот кто хотя бы раз занимался взломом или защитой от него, а не просто теоретизирует, тот знает), что успешный взлом эксплуатирует сразу множество уязвимостей. Например дыра в CMS, плюс кривость PHP, плюс необновленное ядро, плюс неграмотная политика безопасности, позволяющая поднять привилегии чаще всего приводят к взлому сервера при помощи инъекции, PHP шелла и эксплойта ядра. Хотя ни одна из этих уязвимостей в отдельности ни к каким катастрофическим последствиям не приводит.
    Клиента чаще всего подводит дырявая необновленная операционка, плюс работа под админом, плюс необновленный браузер, плюс дыра в флэше/джаве/пдф-ридере или каком-то софте со старыми библиотеками, плюс конечно _незнание_ и желание пользоваться всем новеньким и блестящим, забив на безопасность, несмотря на предупреждение о том, что протокол уязвим сам по себе.

    Кстати и протокол отвечающий всем спецификациям нифига не обязательно безопасен на практике, взять тот же ДНС.

    И вообще развелось "специалистов" которые на каждое сообщение о уязвимости кричат, что это не работает и все юзеры сами виноваты. И так до тех пор пока не увидят у себя в консоле uid=0(root) или пока их самих не поимеют.

     
  • 3.29, User294 (ok), 20:48, 10/12/2010 [^] [^^] [^^^] [ответить]  
  • +/
    > Т.е. это не уязвимость протокола websockets, а уязвимость существующих проксей.

    ... эксплуатируемая при помощи нового протокола про который они не знают, ага. Прокси это конечно не оправдывает, однако возможность впаривать хомякам неправильные куски того же гугля или иных популярных сайтов - трудно переоценить.

     

  • 1.18, devlink (?), 23:59, 09/12/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    ээээ... верните сокеты редиски.
    Когда уже нормально подумают над стандартом - недавно ввели новую версию, которая со старой несовместима, теперь opera и firefox отказываются.
     
     
  • 2.23, ugo (?), 08:56, 10/12/2010 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Так они же не отказываются, они просто снимают с себя ответственность за потенциальные проблемы, не активируя по умолчанию данный функционал. Если Вам нужно, вы можете все включить, только потом не кричите, что Вам подсунули дырявое ПО.
     

  • 1.21, Аноним (-), 08:22, 10/12/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Консорциум честно предупреждал, что НЕ стоит реализовывать HTML5, поскольку стандарт еще очень сырой и не обкатан, кроме того, еще будет огромное кол-во изменений стандарта.
    ССЗБ
     
     
  • 2.22, анони (?), 08:43, 10/12/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Маркетинг будь он неладен
    Почти все уверены, что HTML5 сайт - это видео без флеша
     

  • 1.25, sluge (ok), 10:23, 10/12/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    ну и правильно
     
  • 1.27, Аноним (-), 17:11, 10/12/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Молодцы, всё правильно. А скачущим впереди паровоза надо дать хорошего пинка.
     
  • 1.30, Аноним (-), 22:48, 10/12/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Судя по письму речь идёт об отравлении кэша прокси сервера через который прошёл запрос. Кому надо спокойно смогут это сделать тупо телнетом, а юзеры без сокетов и так огребут.
     
  • 1.37, Аноним (37), 23:10, 10/06/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    hf
     
  • 1.38, Аноним (38), 16:33, 13/05/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Новая opera 11.64

    http://letitbit.net/download/54784.5a1624aaaf9e6e9d0a7fa96f99ab/Opera_1164_in

    http://vip-file.com/downloadlib/79640174973988606-54784.5a1624aaaf9e6e9d0a7fa

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру