Recentes probas atoparon que o protocolo Websocket (ws://) é vulnerable a ataques. Adam Barth demostrou algúns ataques contra o protocolo que podería facer que un atacante "envenene" as cachés que están entre o navegador e a Internet.
Isto é unha ameaza ao protocolo WebSocket e non un problema dun navegador específico. As vulnerabilidades do protocolo tamén afectan ás solucións de Java e Flash. Nun contorno web significa que un ficheiro JavaScript utilizado - como Google Analytics - podería ser suplantado nunha caché por outro ficheiro de malware. Google non tería a culpa e sería difícil localizar onde está ese ficheiro xa que non estará no servidor. Para evitar a proliferación de malware non rastrexable é necesario arranxar o protocolo.
De momento non haberá soporte para Websocket en Firefox 4 e Opera ata que os problemas de seguridade estén arranxados. En concreto, a partires da versión beta 8 de Firefox 4, non se incluirá soporte para websockets. Mozilla é consciente das tremendas funcionalidades que pode ofrece Websocket co cal está traballando coa IETF na nova versión do protocolo. É de supoñer que outras implementacións de Google Chrome e Safari sigan o mesmo camiño xa que é un problema do propio protocolo.
Fonte: hacks.mozilla.org
Última actualización | 2013-02-27 11:41 AM (Europe/Madrid) |
Data de creación | 2010-12-08 11:00 PM (Europe/Madrid) |
Websockets son vulnerables |