Le protocole WebSocket doit-il être évincé ?
Mozilla et Opera cessent de le supporter à cause de failles de sécurité

Le , par Katleen Erna, Expert éminent sénior
Le protocole WebSocket doit-il être évincé ? Mozilla et Opera cessent de le supporter, suite à la découverte de failles de sécurité

WebSocket, à la fois protocole et API, avait dernièrement la cotte du fait de sa position de spécification potentielle du futur standard de l'HTML5. Mais un coup de théâtre vient de frapper son destin : des failles de sécurité ont été découvertes en son sein.

Les vulnérabilités se situent au niveau du canal bidirectionnel et fullduplex que Web Socket ouvre entre le navigateur et le serveur. La négociation qui s'y joue pose problème : quand le browser envoie une requête, cela crée une handshake (poignée de main). Mais cette action ouvre la voie à un empoisonnement du cache, qui peut alors voir un fichier JavaScript être remplacé par un logiciel malveillant.

Et les navigateurs ne peuvent rien faire d'autre pour contrecarrer cette menace, que de cesser de prendre en charge le protocole défectueux. Mozilla et Opera se sont déjà prononcés sur la question : les versions 4 de Firefox et 11 de Opera, ne supporteront pas le WebSocket (le code permettant cette action sera néanmoins présent, mais désactivé).

Microsoft quant à lui, n'aura pas à se poser la question, puisqu'Internet Explorer 9 ne gère pas le protocole.

Source : Mozilla

A votre avis, que vont décider Apple et Google concernant leurs navigateurs respectifs ?

Le WebSocket est-il un danger ? Pourra-t-il être corrigé ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de Nathanael Marchand Nathanael Marchand - Rédacteur https://www.developpez.com
le 10/12/2010 à 17:44
Troll On:
Ah ben il est beau le HTML5 qui doit tuer Silverlight

Plus serieux:
C'est dommage, les communications duplex c'est fort pratique!
Avatar de Emmanuel Deloget Emmanuel Deloget - Expert confirmé https://www.developpez.com
le 10/12/2010 à 18:18
Avec un peu de chance, la prochaine version du protocole sera plus correcte.

J'ai le research paper sur lequel la décision de Mozilla et Opera est basée, et il dit en gros que WebSocket (tel qu'implémenté par Webkit) est grosso-modo aussi sensible que les sockets Java ou les sockets Flash sur des types d'attaque qui sont très particulières (cache poisonning et firewall circumvention). Ces attaques, effectuées au hasard sur les internautes, ont un rendement inférieur à 0,20%.

Comparé à une faille de sécurité classique (100% des attaqué pendant une période de temps donnée), c'est quand même très pointu.

C'est très bien que Opera et Mozilla n'acceptent pas un protocole faillible comme base de travail - d'autant plus que si ce protocole est déployé maintenant, il sera difficile de le changer par la suite. Mais il est loin d'être abandonné - il va revenir sous peu (c'est l'idée derrière l'annonce de Mozilla et Opera).
Avatar de kedare kedare - Membre expérimenté https://www.developpez.com
le 10/12/2010 à 18:51
Citation Envoyé par Emmanuel Deloget  Voir le message
Avec un peu de chance, la prochaine version du protocole sera plus correcte.

Vu la vitesse a la quelle ils sortent les versions, à dans 10 ans pour HTML 5.1
Non sérieusement faut pas les attendre et utiliser des plugins adaptés style Flash ou Silverlight. HTML5 est obsolète sur pas mal de points (notamment la vidéo) avant même de sortir...
Avatar de jpvincent jpvincent - Membre éclairé https://www.developpez.com
le 10/12/2010 à 20:06
C'est inquiétant, mais il y a pas lieu de paniquer :
  • pour le moment, c'est une menace théorique avec une attaque à partir d'un proxy qu'il faut donc posséder et placer. Pas sur que ça intéresse des hackers : déploiement minuscule + hack ou possession de matos réseau = pas très rentable
  • il faut fixer le protocole, et pour ça Mozilla, Google et les autres sont au W3C, je pense qu'ils vont faire ça vite
  • Chrome a préparé un patch pour déploiement rapide, mais ils ont dit qu'ils allaient attendre qu'il y ait un vrai problème
  • Flash et java sont aussi touchés. Et heureusement ou malheureusement ils ne vont pas sortir de version pour désactiver websocket
  • une implémentation en prod qui n'a pas comme fallback Flash, c'est suicidaire


Bref, il ne devrait pas y avoir de perte de fonctionnalité sur les déploiements actuels et c'est un problème temporaire
Avatar de Traroth2 Traroth2 - Membre chevronné https://www.developpez.com
le 10/12/2010 à 20:31
Citation Envoyé par PitMaverick78  Voir le message
Troll On:
Ah ben il est beau le HTML5 qui doit tuer Silverlight

Parce que ça vie encore, Silverlight ?
Avatar de Arkal Arkal - Membre régulier https://www.developpez.com
le 10/12/2010 à 21:18
Google? Facile!
Un partenariat pour relger le probleme et prendre l'avantage sur les autres qui auront cessé l'utilisation...
Avatar de JackDaniels93 JackDaniels93 - Membre du Club https://www.developpez.com
le 10/12/2010 à 21:40
C'est pas comme si html5 était un standard finalisé, c'est pour ça que le W3C déconseille de l'utiliser en production.
Avatar de dvdbly dvdbly - Membre averti https://www.developpez.com
le 11/12/2010 à 10:34
Citation Envoyé par jpvincent  Voir le message
[...]
  • il faut fixer le protocole [...]


Et où faut-il le fixer ? Au mur ?
Avatar de abriotde abriotde - Membre éclairé https://www.developpez.com
le 11/12/2010 à 17:48
Flash est horriblement lent et gourmant. Quant à Silverlight il est destiné à Windows et non au web, sont but est de mal supporter les autres platteformes pour à termes les évincées. Alors d'accord HTML5 n'est pas à mettre sur un serveur de prod d'une application d'entreprise de toute façon ils en sont encore à IE6... mais par contre il est déjà bien plus multiplateforme, performants et efficace que ces concurent. Cependant HTML5 n'est pas destiné, par essence même, à laisser libre cours à toute les fantaisies graphiques de façon à permettre une certaines interraction avec des écrans de tailles variées ou des capacité physique humaine altérée (aveugle avec liseuse braille). Enfin, et non des moindre à mon avis, HTML dans son ensemble est plus abordable au néophite car bien plus ouvert. N'importe qui apprends l'HTML avec un editeur de texte basique et un navigateur. On retrouve la phylosophie Linux. Code source ouvert simplicité et évolutivité poussée.
Avatar de kedare kedare - Membre expérimenté https://www.developpez.com
le 11/12/2010 à 18:16
Flash lent ? On aura tout entendu...
Offres d'emploi IT
Développeur Web FULL-STACK
VACALIANS GROUP - Languedoc Roussillon - SETE (34)
Développeur WEB PHP F/H
VACALIANS GROUP - Languedoc Roussillon - SETE (34)
RESPONSABLE WEB ANALYTICS F/H
VACALIANS GROUP - Languedoc Roussillon - SETE (34)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil