Home ">Napisz Zaloguj
HostSol » Newsy

Strona główna > Newsy > WebSocket pozwala na zatrucie cache przeglądarki. Opera i Firefox wyłączają jego obsługę


"WebSocket pozwala na zatrucie cache przeglądarki. Opera i Firefox wyłączają jego obsługę".

2010-12-10

Pojawienie się technologii WebSocket producenci nowoczesnych przeglądarek przyjęli z niemałym entuzjazmem. Ostatecznie możliwość rozmów między serwerem a przeglądarką po stale otwartym, dupleksowym połączeniu TCP, to prawdziwy przełom, pozwalający m.in. na innowacyjnych aplikacji webowych do komunikacji w czasie rzeczywistym. Niestety ? odkrycie Adama Bartha z Internet Engineering Task Force obnażyło lukę w protokole, która zmusza jak na razie producentów do rezygnacji z WebSocket.

Adam Barth przedstawił kilka różnych rodzajów ataków na protokół, który może być wykorzystany przez intruza do zatrucia pamięci cache. Jest to poważne zagrożenie dla użytkowników Sieci, korzystających z przeglądarek z obsługą WebSocket, zwłaszcza że problem nie jest związany z konkretnym browserem.

Luki w protokole wpływają również na JavaScript i Flash. Oznacza to, że łatwo można podmienić znajdujący się w cache popularny skrypt JS ? np. Google Analytics ? na plik ze złośliwym oprogramowaniem. Trudno w tej sytuacji wyśledzić źródło ataku jak i zabezpieczyć się przed nim. Jedynym możliwym rozwiązaniem tej sytuacji jest naprawa i zabezpieczenie protokołu WebSocket.

Z tego też powodu programiści Firefoxa zdecydowali się wyłączyć obsługę WebSocket w Firefoksie 4, począwszy od wersji beta 8. Poszli w ten sposób w ślady Opery ? nieco wcześniej programista tej firmy Anne van Kesteren poinformował, że również Opera wycofuje się z wsparcia dla WebSocket. Co zrobią programiści Safari i Chrome jeszcze nie wiadomo, ale można sądzić, że postąpią tak samo.

Developerzy, którzy postanowili w swoich aplikacjach wykorzystać WebSocket, powinni wycofać się z tego, póki protokół w ulepszonej wersji nie wróci do przeglądarek. Mozilla wraz z IETF już pracują nad poprawkami, jednak nie wiadomo, kiedy będzie można spodziewać się ich implementacji.

źródło: Hacks.mozilla.org