论坛首页 Web前端技术论坛

HTML5的WebSockets比较脆弱

浏览 1707 次
精华帖 (0) :: 良好帖 (0) :: 新手帖 (0) :: 隐藏帖 (0)
作者 正文
   发表时间:2012-04-19  
   
    Lori认为是因为WebSockets删除了HTTP头,暴露了病毒和恶意软件扫描需要的漏洞,希望大家关注:
    我们知道像content-type的东西;你也知道,header告诉终端正在传输什么样的内容,如text/html和video/avi。反病毒和恶意软件扫描解决方案非常擅长特定类型内容的检测异常。问题是,在没有MIME类型的情况下,能够正确识别一个给定的对象变得有点难以确定。
   当然,一般来说,服务数据的应用对数据类型是不会撒谎的。很少会有恶意代码去利用这方面的弱点。毕竟恶意代码的目的是用一个指定的媒介传递恶意负载,这才是利用漏洞的基本原则—让系统针对恶意负载执行一套特定的指令。这意味着你真的需要终端相信内容就是如它所认为的那种类型。
    Lori接着说可扩展性方面的WebSockets(子协议扩展),它允许额外的有线格式和协议来定义,通过阻止防火墙来缓解问题而产生更多的问题:
   没有办法肯定地知道什么正在通过WebSocket传递,除非你使用它的语言“说话”。这一切混乱的结果是,设计的安全软件扫的描特定类型内容不能为特定的签名或异常。他们不能提取通过WebSocket的传送对象、因为没有迹象表明什么地方开始或结束,甚至它是什么。如果在传送过程中 HTTP头里的数据丢失,这包括类型与长度,那将给任何使用这些数据来解压或者处理相应数据的软硬件带来问题。
    之前已经有了关于 WebSocket的实现和协议的安全漏洞的报告, 就像过去几年有与其他Web协议的报告一样。当然,分布式系统的安全性比HTML早了几十年, 尤其是二进制协议. 所以让二进制系统安全是有可能的,但Lori的观点似乎是, 虽然我们要朝着更高性能的Web方向努力,但我们不应该忽视的事实是,绝大多数的Web基础架构是基于HTTP的,这不是轻易地删除或更换就可以的,事情总会因为各种原因出问题,甚至更糟。既然采用WebSockets似乎是不可避免的, 那现在是时候后退一步去考虑基于WebSockets的世界应该是什么样的的,至少从安全的角度来说。
论坛首页 Web前端技术版

跳转论坛:
Global site tag (gtag.js) - Google Analytics