Elaborar seguridad websockets

Question

Elaborar seguridad websockets

#1 de Krzysztof Kotowicz (10 votos)
#2 de Peter Moskovits (4 votos)
#3 de atdre (2 votos)

13

Estoy interesado en aprender más sobre la seguridad de sockets web. Lea que los sockets web fueron originalmente en Firefox, se eliminaron por razones de seguridad y ahora se agregaron nuevamente con el problema resuelto: enlace

La lectura inicial de ellos parece ser un montón de oportunidades para las vulnerabilidades al igual que los sockets tradicionales en el sistema operativo.

¿Cuáles son los riesgos de seguridad con los sockets web?
¿Cómo están mitigados actualmente por los navegadores modernos?
¿Qué más se debe hacer para mitigar los riesgos?

web-application web-browser html-5

pregunta Rakkhi 31.05.2011 - 10:41

fuente

3 respuestas

4

Aquí hay un par de recursos útiles que analizan la seguridad de WebSocket, todos ellos bastante detallados:

Entrega de seguridad a través de conexiones web dúplex dúplex nativas : un papel blanco gratuito del fundador de Kaazing & CTO
HTML5 WebSocket La seguridad es sólida : una descripción general de la seguridad de WebSocket genérica
La seguridad de Kaazing WebSocket Gateway es sólida: una publicación de seguridad en Kaazing WebSocket Gateway: puede ser una lectura interesante, incluso si no usas Kaazing

[Divulgación: trabajo para Kaazing.]

respondido por el Peter Moskovits 04.03.2012 - 09:05

fuente

2

No es solo Mozilla que impone una prohibición en el protocolo websocket. Muchas organizaciones están bloqueando la interacción de WebSocket mediante la inspección profunda de paquetes, las tecnologías UTM / firewall avanzado y / o las puertas de enlace web seguras. Puede ser un obstáculo lograr que funcione correctamente.

Si desea mucha información sobre los problemas de seguridad con el protocolo WebSocket, asegúrese de revisar este documento de CMU titulado [PDF Hablando contigo mismo por diversión y beneficio PDF].

respondido por el atdre 01.06.2011 - 17:55

fuente

Lea otras preguntas en las etiquetas web-application web-browser html-5

¿Puede .htaccess y .htpasswd realmente protegerme? Recursos para preguntas de seguridad física

score 10 · Accepted Answer

El protocolo WebSockets es una bestia difícil de evaluar en este momento, ya que está cambiando con frecuencia. Después de las fallas en draft-hixie-thewebsocketprotocol-76 del protocolo WebSockets descubiertas por Adam Barth et al. Hace unos meses, Firefox deshabilitó la implementación de WebSockets en aproximadamente: preferencias de configuración. Desde entonces, se está preparando una nueva versión del protocolo, actualmente hasta draft-ietf-hybi-thewebsocketprotocol-07, que intenta corregir los defectos descubiertos. Los navegadores se adaptan rápidamente a la nueva versión, ver, por ejemplo, error de Mozilla # 640003 . Pero, en el otro extremo, los servidores WebSocket aún intentan mantener la compatibilidad con versiones anteriores, por ejemplo. El servidor Socket.IO sigue siendo compatible con la versión anterior 76 .

Por lo tanto, es posible que aún intentes conectarte a un servidor WS fuera del navegador, forzando una versión anterior del protocolo (consulta mi herramienta ya mencionada en los comentarios anteriores).

Pero aún así, no puede enviar un tráfico completamente arbitrario a través de la conexión WS. Los marcos comienzan con el byte NUL, terminan con \ xFF, con la cadena UTF-8 entre (+ un saludo), por lo que los ataques de protocolo cruzado no son tan fáciles de realizar. Sin embargo, prefiero usar WSS: // versión encriptada que la de texto simple.