HTML5(WebSockets)的脆弱性?

尽管还不是官方的标准, HTML5 的使用和影响力成长迅速。 无论是 Web移动、或甚至SOA,似乎都有一个HTML5的整合战略。然而,HTML5不仅仅是一个原有的标记语言的更新,因为它包含了其他方面如 JavaScript和WebSockets。最近我们已经听到了很多WebSockets有关的内容,包含技术的引进和是否有任何对于REST的影响。然而,近期Lori Macvittie 辩论说WebSockets可能会导致一个不太安全的网站,如果人们以安全换取性能的话。 她从2011年的一份报告指出,很多人都已经习惯于这样做,并且已经有一个调查发现了这类情况…

…而91%的受访者不仅在安全性和性能之间的进行权衡,实际上整整81%是禁用安全功能的特性。

但是这个和WebSockets什么关系呢?Lori认为是因为WebSockets删除了HTTP头,暴露了病毒和恶意软件扫描需要的漏洞:

你知道,像content-type的东西;你也知道,header告诉终端正在传输什么样的内容,如text/html和video/avi。反病毒和 恶意软件扫描解决方案非常擅长特定类型内容的检测异常。问题是,在没有MIME类型的情况下,能够正确识别一个给定的对象变得有点难以确定。

当然,依赖于HTTP头不能保证避免恶意内容,但Lori提到:

[…]一般来说,服务数据的应用对数据类型是不会撒谎的。很少会有恶意代码去利用这方面的弱点。毕竟恶意代码的目的是用一个 指定的媒介传递恶意负载,这才是利用漏洞的基本原则—让系统针对恶意负载执行一套特定的指令。这意味着你真的需要终端相信内容就是如它所认为的那种类型。

Lori接着说可扩展性方面的WebSockets(子协议扩展),它允许额外的有线格式和协议来定义,通过阻止防火墙来缓解问题而产生更多的问题:

[…]没有办法肯定地知道什么正在通过WebSocket传递,除非你使用它的语言“说话”。这一切混乱的结果是,设计的安 全软件扫的描特定类型内容不能为特定的签名或异常。他们不能提取通过WebSocket的传送对象、因为没有迹象表明什么地方开始或结束,甚至它是什么。 如果在传送过程中 HTTP头里的数据丢失,这包括类型与长度,那将给任何使用这些数据来解压或者处理相应数据的软硬件带来问题。

之前已经有了关于 WebSocket的实现和协议安全漏洞的报告, 就像过去几年有与其他Web协议的报告一样。当然,分布式系统的安全性比HTML早了几十年, 尤其是二进制协议。 所以让二进制系统安全是有可能的,但Lori的观点似乎是,虽然我们要朝着更高性能的Web方向努力,但我们不应该忽视的事实是,绝大多数的Web基础架 构是基于HTTP的,这不是轻易地删除或更换就可以的,事情总会因为各种原因出问题,甚至更糟。既然采用WebSockets似乎是不可避免的, 那现在是时候后退一步去考虑基于WebSockets的世界应该是什么样的的,至少从安全的角度来说。

译者 晁晓娟 从事Web开发管理多年,留过学,呆过外企,尝试过创业,关注项目管理,架构和产品。

This entry was posted in ASP.NET. Bookmark the permalink.

发表评论

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / 更改 )

Twitter picture

You are commenting using your Twitter account. Log Out / 更改 )

Facebook photo

You are commenting using your Facebook account. Log Out / 更改 )

Google+ photo

You are commenting using your Google+ account. Log Out / 更改 )

Connecting to %s