Разработчики Firefox и Opera приняли решение (http://hacks.mozilla.org/2010/12/websockets-disabled-in-fire.../) отключить поддержку протокола WebSockets (http://dev.w3.org/html5/websockets/), входящего в число спецификаций группы HTML5. Протокол WebSockets уже реализован в браузерах на базе движка WebKit, таких как Chrome/Chromium и Safari, и является одной из наиболее ожидаемых новинок Firefox 4 и Opera 11, так как позволяет решить проблему с организацией двустороннего обмена данными между web-приложением и сервером. Образно говоря, WebSockets является своеобразным аналогом TCP для Web и позволяет в произвольном порядке инициировать отправку данных от сервера к web-приложению, а не только от web-приложения к серверу.
Для аутентификации и обеспечения безопасности передачи данных в Web Sockets используются стандартные механизмы браузера. Сам протокол не использует сырые TCP-соединения, но и не работает поверх HTTP. Тем не менее соединение поддерживается в рамках единого с HTTP кан...URL: http://hacks.mozilla.org/2010/12/websockets-disabled-in-fire.../
Новость: http://www.opennet.me/opennews/art.shtml?num=28944
Поддерживаю. Молодцы, серьезные люди и серьезные продукты. А сокеты подождут!
Давно заметно что гуглу пофигу на проблемы пользователей. Подумаешь, пользователей поимеют. Гугл и так их имеет, сливая статистику и прочая направо-налево за бабки.
То, что гуглу плевать на пользователей, согласен. Но то, что возможность надо отключать из-за одного ненадёжного варианта использования — бред.
Нет, не бред. Как это будет на практике?
1) Пров или корпоративный админ может воткнуть вам по пути прозрачный прокси, вообще забыв у вас спросить - "а можно ли?". И откаться от этой медвежьей услуги не слишком просто, кстати. Хомячки точно не смогут - хардкор типа своих проксиков на кастомном порту или впн для них шибко загрузно будет.
2) Хакерье начнет радостно травить кеши на этих проксях.
3) Миллионы хомяков начнут жесточайше иметь. Скорее всего угоняя у них аккаунты пачками, спамя от их лица и прочая. Заметьте, от них вообще при этом не требуется никаких неправильных действий.Вопрос на засыпку: а вам понравится если с вашего аккаунта поспамят весьма некисло, а потом еще и копирайченого матерьяльца на пару миллионов баксов выложат? А вы потом уворачивайтесь от посыпавшихся со всех сторон люлей, ага. Можно подумать, хаксоров, спамеров и прочих очень колебут ваши проблемы :). Гугла вот они тоже не колебут. Мозилла и опера выгодно отличаются в этом плане. Впрочем у гугла бардак с троянами и в других местах. В андроидовском сторе например полно троянообразных программ. Они еще и вебе хотят такой же срач развести? Можно подумать без них проблем мало.
> Нет, не бред. Как это будет на практике?
> 1) Пров или корпоративный админ может воткнуть вам по пути прозрачный прокси,
> вообще забыв у вас спросить - "а можно ли?". И откаться
> от этой медвежьей услуги не слишком просто, кстати. Хомячки точно не
> смогут - хардкор типа своих проксиков на кастомном порту или впн
> для них шибко загрузно будет.
> 2) Хакерье начнет радостно травить кеши на этих проксях.устанут травить ксли это прозрачный кэш -- особенно устанут очитывая то, что обычно корпо-прокси нормально прикрыты МСЭ или хотя-бы NAT.
> 3) Миллионы хомяков начнут жесточайше иметь. Скорее всего угоняя у них аккаунты
> пачками, спамя от их лица и прочая. Заметьте, от них вообще
> при этом не требуется никаких неправильных действий.возьми бумажку и попробуй как твоя выдумка будет работать
> Вопрос на засыпку: а вам понравится если с вашего аккаунта поспамят весьма
> некисло, а потом еще и копирайченого матерьяльца на пару миллионов баксов
> выложат? А вы потом уворачивайтесь от посыпавшихся со всех сторон люлей,
> ага. Можно подумать, хаксоров, спамеров и прочих очень колебут ваши проблемы
> :). Гугла вот они тоже не колебут. Мозилла и опера выгодно
> отличаются в этом плане. Впрочем у гугла бардак с троянами и
> в других местах. В андроидовском сторе например полно троянообразных программ. Они
> еще и вебе хотят такой же срач развести? Можно подумать без
> них проблем мало.казалось-бы при чём тут гуг^W проблемы использования устаревших прокси решаются за счёт современных браузеров -- подумай 294'ый -- ведь это явно не решение проблкмы.
>казалось-бы при чём тут гуг^W проблемы использования устаревших прокси решаются за счёт
>современных браузеров -- подумай 294'ый -- ведь это явно не решение проблкмы.угу. "проблемы устаревших прокси". Вот сейчас все как ломанулись обновлять свои отработанные и действующие системы доступа ради того чтобы некая часть непринятого таки стандарта таки заработала...
Да и не говорит Мозилла "вам это не надо и забудьте", Мозилла говорит "в том виде в котором есть сейчас - это опасно, но если вам это надо - врубайте сами на свой страх и риск".
>>казалось-бы при чём тут гуг^W проблемы использования устаревших прокси решаются за счёт
>>современных браузеров -- подумай 294'ый -- ведь это явно не решение проблкмы.
> угу. "проблемы устаревших прокси". Вот сейчас все как ломанулись обновлять свои отработанныетакие-же оработанyые как машинное масло?
> и действующие системы доступа ради того чтобы некая часть непринятого таки
> стандарта таки заработала...при чём тут стандарт на html5 если нарушен стандарт на работу самих прокси-сереров и не соблюдая его естm неслабая возможность предоставить ещё одну дыру для взлома.
> Да и не говорит Мозилла "вам это не надо и забудьте", Мозилла
> говорит "в том виде в котором есть сейчас - это опасно,
> но если вам это надо - врубайте сами на свой страх
> и риск".и казалось-бы при чём тут user294? - он хоnь иногда читает прежде чем пишет в отличии...
1) Если корпоративный админ -- так на то он и админ чтоб ОТВЕЧАТЬ ЗА ВСЕ.
Если провайдер ... это нарушение Прав Потребителя -- пишите в личку -- -взгреем провайдера по первое число.
2) Нормальный человек через чужое прокси не ходит.
Идя через чужое_прокси Вы пытаетесь представиться от ЭТОГО_ПРОКСИ, потому хозяин ЭТОГО_ПРОКСИ может делать ЧТО ОН ХОЧЕТ. (Даже пустить поверх протокола http:// 220 вольт --- если придумает как! :) )
А кто отвечает за ВАШ_ПРОКСИ? Если он ВАШ -- то собственно ВЫ САМИ.
Вообще, В НАШЕ ВРЕМЯ хождение вэбом через прокси -- это "ДУРНОЙ ТОН".
3) При вождении машины нужно умение водить, которое проверяется при выдаче прав.
>> Заметьте, от них вообще при этом не требуется никаких неправильных действий.Как это не требуется?
Неправильные действия, приводящие к тому, что Вы написали:
1. Отсутствие головы и логического мышления.
2. Использование прокси.
3. Использование плохого провайдера.
4. Использование продуктов фирмы Микрософт.Чтоже в отношении Мозилы и Оперы... ну конечно респект --- сделано грамотно и корректно.
Эта чтоль?
network.websocket.enabled
и network.websocket.override-security-block в true
нету такой :(
она появилась в сегодняшней найтли-сборке firefox'a, как и отключение вебсокетов, и будет в восьмой бете
> она появилась в сегодняшней найтли-сборке firefox'a, как и отключение вебсокетов,
> и будет в восьмой бетеУстроили там ромашку - включаем-невключаем :)
отлично! правильно!!вот именно этим HTML5 отличается от Adobe Flash (...и других сильверлайтов и прочего вендорского Г):
...а именно: здесь (в W3C-стандартах) -- 10 раз подумают над безопасностью прежде чем будут реализовывать чтото!
...а не то что "функция для галочки" (Silverlight) чтобы потом на очередных конференциях (Microsoft для студентов и имбицилов) рассказывать что якобы продукт сделан для rich-media и просто блещщит числом функций! :-D
Это не HTML5, а решение тех, кто его реализовывает в своих продуктах. Так что хвалить стоит их, а не создателей спецификаций, допустивших ошибки и решающих их.
> вот именно этим HTML5 отличается от Adobe Flash (...и других сильверлайтов и прочего вендорского Г):
> ...а именно: здесь (в W3C-стандартах) -- 10 раз подумают над безопасностью прежде чем будут реализовывать чтото!Что-то мне подсказывает, что оно уже есть, поэтому и реализовано в движке WebKit, а не реализовывать решили лишь две компании, так как решето. Так что не сильно-то и отличается.
> чем будут реализовывать чтото!они и не реализовывают ничего. они лишь выпускают стандарт
> рекомендовано для согласования соединения вместо механизма HTTP Upgrade использовать метод CONNECTОднако, не из всех локаций доступен метод CONNECT на 80 порт. :(
В тех же "локациях" обычно и Upgrade не работает, поэтому не расстраивайтесь.
Ура. На самом деле, давно назревает аналог noscript (в сумме enable cookies for site, adblock и еще десятком плагинов), который работает как персональные фаирволы в венде и позволяет (дебилам) все разрешить, а кому надо - настроить посайтово всю возможную активность, включая cookies, storage, websockets, кэш и т.д.
В идеале, должна быть возможность противостоять даже такой штуке, как evercookie (у меня даже при отсутствии noscript она сохраняется только в кэше).
Поясните пожалуйста, кто понял новость:> используя механизм HTTP Upgrade можно на этапе установки соединения передать порцию данных, которую прокси-cервер воспримет как HTTP-запрос/ответ
получается я могу написать программку которая будет слать такой же трафик как HTTP Upgrade и это позволит мне подменять любые страницы в кеше прокси?
Да-да, все так и есть.
И я, честно говоря, не совсем понимаю, как запрет websockets в браузерах исправит «core issue is that some number of transparent proxies do not understand the HTTP Upgrade mechanism and therefore don't understand that the remaining bytes sent by the attacker on the socket are not HTTP.»
Т.е. это не уязвимость протокола websockets, а уязвимость существующих проксей.
И тем 8 пользователям, которых поимели, подсунув зловредный жаваскрипт, отключение вебсокетов никак не поможет.У меня даже в голове не укладывается, как можно быть такими идиотами…
Кривые прокси уязвимы изнутри. Это значит, что ваш коллега или ваша жена, может отравить кэш этого прокси и таким образом подсунуть вам некий неправильный http://www.google-analytics.com/ga.js.
Websocket делает их уязвимыми снаружи. Это значит, что не только ваш коллега за соседним столом, а любой киддис Вася может таким образом подсунуть вам некий неправильный http://www.google-analytics.com/ga.js.
Так в том же исследовании прекрасно описано, как тех же целей «ломания снаружи» можно достичь с явой и флэшом. И что, запретим по дефолту в браузерах флэш и яву?
Только очень особые любди думают, что «безопасно» == «через жопу».
Если ты делаешь в своей сетке transparent proxy, ты берешь на себя всю ответственность за обеспечение безопасности пользователей за ним. И если у тебя кривой прокси — это твой косяк, а не разработчиков спецификации протокола, который, между прочим, спецификаций HTTP не нарушает (почитайте rfc2616 про Upgrade).
Запрещать протокол, соответствующий спецификации, потому что он ломает прокси, которые положили на спецификацию — это феерический идиотизм.
А что прокси нарушают, какую спецификацию? Ни в каком std не написано, что нельзя кэшировать по хостнэйму. Да и кэширование по ИП не дает никакой гарантии, что другие исследователи не смогут его эксплуатировать.>Так в том же исследовании прекрасно описано, как тех же целей «ломания снаружи» можно достичь с явой и флэшом. И что, запретим по дефолту в браузерах флэш и яву?
Да, этот крап в вэбе не нужен.
Так, между прочим, эксплойт вэбсокета через Upgrade тоже использует флэш.
Так обычно и получается (и тот кто хотя бы раз занимался взломом или защитой от него, а не просто теоретизирует, тот знает), что успешный взлом эксплуатирует сразу множество уязвимостей. Например дыра в CMS, плюс кривость PHP, плюс необновленное ядро, плюс неграмотная политика безопасности, позволяющая поднять привилегии чаще всего приводят к взлому сервера при помощи инъекции, PHP шелла и эксплойта ядра. Хотя ни одна из этих уязвимостей в отдельности ни к каким катастрофическим последствиям не приводит.
Клиента чаще всего подводит дырявая необновленная операционка, плюс работа под админом, плюс необновленный браузер, плюс дыра в флэше/джаве/пдф-ридере или каком-то софте со старыми библиотеками, плюс конечно _незнание_ и желание пользоваться всем новеньким и блестящим, забив на безопасность, несмотря на предупреждение о том, что протокол уязвим сам по себе.Кстати и протокол отвечающий всем спецификациям нифига не обязательно безопасен на практике, взять тот же ДНС.
И вообще развелось "специалистов" которые на каждое сообщение о уязвимости кричат, что это не работает и все юзеры сами виноваты. И так до тех пор пока не увидят у себя в консоле uid=0(root) или пока их самих не поимеют.
> Т.е. это не уязвимость протокола websockets, а уязвимость существующих проксей.... эксплуатируемая при помощи нового протокола про который они не знают, ага. Прокси это конечно не оправдывает, однако возможность впаривать хомякам неправильные куски того же гугля или иных популярных сайтов - трудно переоценить.
ээээ... верните сокеты редиски.
Когда уже нормально подумают над стандартом - недавно ввели новую версию, которая со старой несовместима, теперь opera и firefox отказываются.
Так они же не отказываются, они просто снимают с себя ответственность за потенциальные проблемы, не активируя по умолчанию данный функционал. Если Вам нужно, вы можете все включить, только потом не кричите, что Вам подсунули дырявое ПО.
Консорциум честно предупреждал, что НЕ стоит реализовывать HTML5, поскольку стандарт еще очень сырой и не обкатан, кроме того, еще будет огромное кол-во изменений стандарта.
ССЗБ
Маркетинг будь он неладен
Почти все уверены, что HTML5 сайт - это видео без флеша
ну и правильно
Молодцы, всё правильно. А скачущим впереди паровоза надо дать хорошего пинка.
Судя по письму речь идёт об отравлении кэша прокси сервера через который прошёл запрос. Кому надо спокойно смогут это сделать тупо телнетом, а юзеры без сокетов и так огребут.
hf
Новая opera 11.64http://letitbit.net/download/54784.5a1624aaaf9e6e9d0a7fa96f9...
http://vip-file.com/downloadlib/79640174973988606-54784.5a16...