Elaborata sicurezza websocket

Question

Elaborata sicurezza websocket

#1 da (10 voti)
#2 da (4 voti)
#3 da (2 voti)

13

Sono interessato a saperne di più sulla sicurezza dei socket Web. Leggi che i socket Web erano originariamente in Firefox, rimossi per motivi di sicurezza e ora aggiunti di nuovo con il problema risolto: link

La lettura iniziale di loro sembra piena di oppotunità per le vulnerabilità, proprio come i socket tradizionali del sistema operativo.

Quali sono i rischi per la sicurezza con i socket Web?
In che modo vengono attualmente mitigati dai browser moderni?
Che altro si dovrebbe fare per mitigare i rischi?

web-browser web-application html-5

posta Rakkhi 31.05.2011 - 10:41

fonte

3 risposte

4

Ecco un paio di risorse utili per discutere della sicurezza WebSocket, tutte abbastanza dettagliate:

Fornire sicurezza su connessioni Web native full-duplex - a whitepaper gratuito dal fondatore di Kaazing & CTO
HTML5 WebSocket La sicurezza è strong - una panoramica generica sulla sicurezza di WebSocket
Kaazing WebSocket Gateway Security è strong - un post di sicurezza sul Kaazing WebSocket Gateway: potrebbe essere una lettura interessante, anche se non usi Kaazing

[Divulgazione: lavoro per Kaazing.]

risposta data 04.03.2012 - 09:05

fonte

2

Non è solo Mozilla che mette un bando sul protocollo WebSocket. Molte organizzazioni stanno bloccando l'interazione WebSocket utilizzando l'ispezione deep packet, le tecnologie UTM / advanced-firewall e / o i gateway web sicuri. Potrebbe essere un ostacolo riuscire a farlo funzionare correttamente.

Se vuoi ricevere molte informazioni sui problemi di sicurezza con il protocollo WebSocket, assicurati di dare un'occhiata a questo documento della CMU intitolato [PDF Parlare con te stesso per divertimento e profitto PDF].

risposta data 01.06.2011 - 17:55

fonte

Leggi altre domande sui tag web-browser web-application html-5

E 'possibile ottenere tutti i dati che invio tramite wifi? Quali sono i rischi di un certificato firmato localhost?

score 10 · Accepted Answer

Il protocollo WebSockets è una bestia difficile da valutare in questo momento, poiché cambia frequentemente. Dopo i difetti in draft-hixie-thewebsocketprotocol-76 del protocollo WebSockets scoperto da Adam Barth et al. alcuni mesi fa, Firefox ha disabilitato l'implementazione WebSockets in about: config preferences. Da allora, una nuova versione del protocollo è in lavorazione, attualmente fino a draft-ietf-hybi-thewebsocketprotocol-07, che tenta di correggere i difetti scoperti. I browser si adattano rapidamente alla nuova versione - vedi ad es. Bug di Mozilla # 640003 . Ma - dall'altra parte, i server WebSocket cercano ancora di mantenere la compatibilità con le versioni precedenti, ad es. Socket.IO server ancora supporta la versione pre-76 .

Quindi potresti ancora riuscire a connetterti al server WS fuori dal browser, forzando la versione precedente del protocollo (vedi il mio strumento già citato nei commenti sopra).

Tuttavia, non è possibile inviare traffico completamente arbitrario attraverso la connessione WS. I frame iniziano con NUL byte, terminano con \ xFF, con una stringa UTF-8 tra (+ un handshake), quindi gli attacchi cross-protocol non sono così facili da eseguire. Tuttavia, preferisco usare la versione crittografata WSS: // rispetto a quella in chiaro.