Разработчики браузеров Opera и Firefox озаботились безопасной работой пользователей в сети Интернет и решили пока не включать поддержку протокола WebSockets, которую предлагает новый стандарт HTML5.
WebSockets является, наверное, самой ожидаемой новинкой, которая позволяет реализовать двухсторонний обмен информацией между web-сервером и браузером в реальном времени, что несомненно может развязать руки не честным "на руку" разработчикам.
Дополнительной аутентификации для этого никакой не предусмотрено, поэтому использование этого нового протокола в Mozilla и Opera Software ASA в новых версиях браузеров было решено отложить до лучших времен.
По мимо этого, исследователь Adam Barth нашел уязвимость протокола WebSockets, с помощью которой у злоумышленников появляется возможность подменить кэш практически любого компьютера, трафик которого идет через прозрачный прокси. В подтверждение этому Adam Barth смог подменить в кэше JS-скрипт web-сервиса Google Analytics на подложный.
Представители Mozilla и Opera Software ASA заявили, что включат протокол WebSockets в свои продукты, если в протокол будут внесены соответствующие изменения, которые препятствуют неправомерным действиям. Предлагается механизм установки и согласования соединения между сервером и клиентом использовать метод CONNECT, вместо сейчас используемого механизма HTTP Upgrade.
Кстати, на заметку: Google уже включил протокол WebSockets в состав своих браузеров Google Chrome и Chromium.
Чтобы протестировать ваш браузер на наличие в нем протокола WebSockets и понять висит ли над Вами угроза безопасности ваших данных, существует замечательный сайт http://websocketstest.com, который покажет Вам «скрытые» возможности браузера.
Комментарии (0)