»Новости отрасли - Разработчики Firefox и Opera отключат поддержку WebSocket »   https://www.infosecuritymoscow.com/page.php?id=352

Автор: , Отправлено: 2011-01-22 18:11.

Сообщается, что Mozilla и Opera Software приняли решение ограничить поддержку этого протокола в последних версиях своих обозревателей - Firefox 4 и Opera 11 - по соображениям безопасности: WebSocket оказался уязвим для опасных атак со стороны потенциальных злоумышленников. Проблема, о которой идет речь, была обнаружена командой специалистов по защите информации в конце предыдущего месяца. Результаты проведенного ими исследования гласят, что открытые прокси-серверы при работе с WebSocket некорректно распознают служебные сигналы подтверждения установки соединений и интерпретируют заключительные байты этих сигналов как валидные HTTP-запросы. Согласно записи в блоге Mozilla Hacks, оставленной разработчиком Кристианом Хайльманном, подобная уязвимость довольно опасна, причем от конкретного браузера она никак не зависит. Изъяны в протоколе WebSocket могут позволить злоумышленнику, к примеру, подменить в кэше любой легитимный JavaScript-файл (скажем, от системы Google Analytics) на вредоносный. Стоит, однако, отметить, что ни Mozilla, ни Opera Software не будут полностью отказываться от поддержки WebSocket: соответствующий функционал по умолчанию отключат в настройках обозревателя. Возможность активировать его оставят для нужд пользователей, заинтересованных в тестировании уязвимого протокола, причем в Firefox соответствующий параметр конфигурации будет скрыт. Технологии WebSocket используются и в других популярных браузерах - Chrome версии 4 и выше, а также Safari 5. Г-н Хайльманн, однако, выразил уверенность в том, что Google и Apple вскоре последуют примеру Mozilla и Opera Software и отключат поддержку протокола вплоть до момента исправления всех опасных недочетов и ошибок. Источник: Anti-Malware.ru