Elaborar seguridad websockets

13

Estoy interesado en aprender más sobre la seguridad de sockets web. Lea que los sockets web fueron originalmente en Firefox, se eliminaron por razones de seguridad y ahora se agregaron nuevamente con el problema resuelto: enlace

La lectura inicial de ellos parece ser un montón de oportunidades para las vulnerabilidades al igual que los sockets tradicionales en el sistema operativo.

  • ¿Cuáles son los riesgos de seguridad con los sockets web?
  • ¿Cómo están mitigados actualmente por los navegadores modernos?
  • ¿Qué más se debe hacer para mitigar los riesgos?
pregunta Rakkhi 31.05.2011 - 10:41
fuente

3 respuestas

10

El protocolo WebSockets es una bestia difícil de evaluar en este momento, ya que está cambiando con frecuencia. Después de las fallas en draft-hixie-thewebsocketprotocol-76 del protocolo WebSockets descubiertas por Adam Barth et al. Hace unos meses, Firefox deshabilitó la implementación de WebSockets en aproximadamente: preferencias de configuración. Desde entonces, se está preparando una nueva versión del protocolo, actualmente hasta draft-ietf-hybi-thewebsocketprotocol-07, que intenta corregir los defectos descubiertos. Los navegadores se adaptan rápidamente a la nueva versión, ver, por ejemplo, error de Mozilla # 640003 . Pero, en el otro extremo, los servidores WebSocket aún intentan mantener la compatibilidad con versiones anteriores, por ejemplo. El servidor Socket.IO sigue siendo compatible con la versión anterior 76 .

Por lo tanto, es posible que aún intentes conectarte a un servidor WS fuera del navegador, forzando una versión anterior del protocolo (consulta mi herramienta ya mencionada en los comentarios anteriores).

Pero aún así, no puede enviar un tráfico completamente arbitrario a través de la conexión WS. Los marcos comienzan con el byte NUL, terminan con \ xFF, con la cadena UTF-8 entre (+ un saludo), por lo que los ataques de protocolo cruzado no son tan fáciles de realizar. Sin embargo, prefiero usar WSS: // versión encriptada que la de texto simple.

    
respondido por el Krzysztof Kotowicz 02.06.2011 - 15:07
fuente
4

Aquí hay un par de recursos útiles que analizan la seguridad de WebSocket, todos ellos bastante detallados:

[Divulgación: trabajo para Kaazing.]

    
respondido por el Peter Moskovits 04.03.2012 - 09:05
fuente
2

No es solo Mozilla que impone una prohibición en el protocolo websocket. Muchas organizaciones están bloqueando la interacción de WebSocket mediante la inspección profunda de paquetes, las tecnologías UTM / firewall avanzado y / o las puertas de enlace web seguras. Puede ser un obstáculo lograr que funcione correctamente.

Si desea mucha información sobre los problemas de seguridad con el protocolo WebSocket, asegúrese de revisar este documento de CMU titulado [PDF Hablando contigo mismo por diversión y beneficio PDF].

    
respondido por el atdre 01.06.2011 - 17:55
fuente

Lea otras preguntas en las etiquetas