Lori认为是因为WebSockets删除了HTTP头,暴露了病毒和恶意软件扫描需要的漏洞,希望大家关注:
我们知道像content-type的东西;你也知道,header告诉终端正在传输什么样的内容,如text/html和video/avi。反病毒和恶意软件扫描解决方案非常擅长特定类型内容的检测异常。问题是,在没有MIME类型的情况下,能够正确识别一个给定的对象变得有点难以确定。
当然,一般来说,服务数据的应用对数据类型是不会撒谎的。很少会有恶意代码去利用这方面的弱点。毕竟恶意代码的目的是用一个指定的媒介传递恶意负载,这才是利用漏洞的基本原则—让系统针对恶意负载执行一套特定的指令。这意味着你真的需要终端相信内容就是如它所认为的那种类型。
Lori接着说可扩展性方面的WebSockets(子协议扩展),它允许额外的有线格式和协议来定义,通过阻止防火墙来缓解问题而产生更多的问题:
没有办法肯定地知道什么正在通过WebSocket传递,除非你使用它的语言“说话”。这一切混乱的结果是,设计的安全软件扫的描特定类型内容不能为特定的签名或异常。他们不能提取通过WebSocket的传送对象、因为没有迹象表明什么地方开始或结束,甚至它是什么。如果在传送过程中 HTTP头里的数据丢失,这包括类型与长度,那将给任何使用这些数据来解压或者处理相应数据的软硬件带来问题。
之前已经有了关于 WebSocket的实现和协议的安全漏洞的报告, 就像过去几年有与其他Web协议的报告一样。当然,分布式系统的安全性比HTML早了几十年, 尤其是二进制协议. 所以让二进制系统安全是有可能的,但Lori的观点似乎是, 虽然我们要朝着更高性能的Web方向努力,但我们不应该忽视的事实是,绝大多数的Web基础架构是基于HTTP的,这不是轻易地删除或更换就可以的,事情总会因为各种原因出问题,甚至更糟。既然采用WebSockets似乎是不可避免的, 那现在是时候后退一步去考虑基于WebSockets的世界应该是什么样的的,至少从安全的角度来说。
分享到:
相关推荐
HTML5 WebSockets 是一种在客户端和服务器之间建立实时、双向通信通道的技术。它使得Web应用程序可以像桌面应用一样实时地收发数据,无需频繁地使用HTTP请求来更新页面。这个基础使用教程将涵盖WebSockets的核心概念...
This book is for web developers who want to learn and implement WebSocket to create interesting apps for modern browsers, leveraging the capabilities of HTML5 with WebSockets. In Detail WebSocket ...
### HTML5 WebSockets基础使用教程 #### 一、引言 HTML5为现代Web开发引入了许多激动人心的新特性,其中WebSockets是一项值得关注的重要技术。它允许客户端和服务器之间建立持久连接,从而实现双向实时通信,这在很...
Qt5WebSockets.dll
在本项目"HTML5 Real-Time Chat with WebSockets, jQuery"中,我们探索了利用HTML5、WebSocket技术和jQuery实现这样的功能。WebSocket协议是HTML5的一个关键特性,它提供了全双工、低延迟的通信渠道,而jQuery则简化...
3. `client.php`或`example.html`:客户端示例,展示如何连接到WebSockets服务器并发送/接收数据。 4. `lib`或`classes`目录:包含处理WebSockets连接和数据解析的PHP类库。 5. `config.php`:可能包含服务器配置,...
在现代Web开发中,实时通信成为了不可或缺的一部分,WebSockets技术因其双向通信的能力而备受青睐。本文将深入探讨如何使用LaravelWebSockets为Laravel应用程序添加WebSockets功能,使其能够实现实时数据传输,提高...
赠送jar包:undertow-websockets-jsr-2.1.7.Final.jar; 赠送原API文档:undertow-websockets-jsr-2.1.7.Final-javadoc.jar; 赠送源代码:undertow-websockets-jsr-2.1.7.Final-sources.jar; 赠送Maven依赖信息...
赠送jar包:undertow-websockets-jsr-2.2.14.Final.jar; 赠送原API文档:undertow-websockets-jsr-2.2.14.Final-javadoc.jar; 赠送源代码:undertow-websockets-jsr-2.2.14.Final-sources.jar; 赠送Maven依赖信息...
赠送jar包:undertow-websockets-jsr-2.1.7.Final.jar; 赠送原API文档:undertow-websockets-jsr-2.1.7.Final-javadoc.jar; 赠送源代码:undertow-websockets-jsr-2.1.7.Final-sources.jar; 赠送Maven依赖信息...
5. **调试工具**:提供了丰富的日志和调试功能,方便开发者在开发和调试过程中了解连接状态和传输数据。 6. **与HTTP/HTTPS兼容**:`websockets`可以与HTTP和HTTPS服务器共享端口,允许在同一URL下提供WebSocket和...
HTML5 WebSockets 是一种在客户端与服务器之间建立持久、双向通信的技术,它基于TCP协议,使得实时数据传输成为可能。传统的HTTP协议是单向的,即由客户端发起请求,服务器响应。但WebSockets允许服务器主动推送给...
赠送jar包:undertow-websockets-jsr-2.2.14.Final.jar; 赠送原API文档:undertow-websockets-jsr-2.2.14.Final-javadoc.jar; 赠送源代码:undertow-websockets-jsr-2.2.14.Final-sources.jar; 赠送Maven依赖信息...
5. **异步编程**:`websockets`库基于Python的asyncio库构建,这使得它可以无缝地与其他异步任务协同工作,如数据库操作或第三方API调用。 6. **日志和调试**:库内置了日志功能,便于在开发过程中进行调试和问题...
《Grizzly WebSockets 2.3.4与Riak PB:开源项目的协同工作》 在当今的互联网世界中,高效、可靠的通信是至关重要的。Grizzly WebSockets 2.3.4 和 Riak PB(Protocol Buffers)是两个在开源社区中广泛使用的工具,...
WebSocket协议是基于TCP的一种新的网络协议。它实现了浏览器与服务器全双工(full-duplex)通信——允许服务器主动发送信息给客户端。本代码是用Java开发的最简易的websocket的demo
标题中的“通过WebSockets和HTML5 Canvas通过Web浏览器访问WPF应用程序”揭示了这个话题是关于使用现代网络技术来远程展示和交互WPF(Windows Presentation Foundation)应用程序。这是一个先进的技术融合,允许...
WebSockets:WebSockets基础概念.docx