Le protocole WebSocket doit-il être évincé ? Mozilla et Opera cessent de le supporter

[Katleen Erna]

Le protocole WebSocket doit-il être évincé ? Mozilla et Opera cessent de le supporter, suite à la découverte de failles de sécurité

WebSocket, à la fois protocole et API, avait dernièrement la cotte du fait de sa position de spécification potentielle du futur standard de l'HTML5. Mais un coup de théâtre vient de frapper son destin : des failles de sécurité ont été découvertes en son sein.

Les vulnérabilités se situent au niveau du canal bidirectionnel et fullduplex que Web Socket ouvre entre le navigateur et le serveur. La négociation qui s'y joue pose problème : quand le browser envoie une requête, cela crée une handshake (poignée de main). Mais cette action ouvre la voie à un empoisonnement du cache, qui peut alors voir un fichier JavaScript être remplacé par un logiciel malveillant.

Et les navigateurs ne peuvent rien faire d'autre pour contrecarrer cette menace, que de cesser de prendre en charge le protocole défectueux. Mozilla et Opera se sont déjà prononcés sur la question : les versions 4 de Firefox et 11 de Opera, ne supporteront pas le WebSocket (le code permettant cette action sera néanmoins présent, mais désactivé).

Microsoft quant à lui, n'aura pas à se poser la question, puisqu'Internet Explorer 9 ne gère pas le protocole.

Source : Mozilla

A votre avis, que vont décider Apple et Google concernant leurs navigateurs respectifs ?

Le WebSocket est-il un danger ? Pourra-t-il être corrigé ?

[Nathanael Marchand]

Troll On:
Ah ben il est beau le HTML5 qui doit tuer Silverlight

Plus serieux:
C'est dommage, les communications duplex c'est fort pratique!

[Emmanuel Deloget]

Avec un peu de chance, la prochaine version du protocole sera plus correcte.

J'ai le research paper sur lequel la décision de Mozilla et Opera est basée, et il dit en gros que WebSocket (tel qu'implémenté par Webkit) est grosso-modo aussi sensible que les sockets Java ou les sockets Flash sur des types d'attaque qui sont très particulières (cache poisonning et firewall circumvention). Ces attaques, effectuées au hasard sur les internautes, ont un rendement inférieur à 0,20%.

Comparé à une faille de sécurité classique (100% des attaqué pendant une période de temps donnée), c'est quand même très pointu.

C'est très bien que Opera et Mozilla n'acceptent pas un protocole faillible comme base de travail - d'autant plus que si ce protocole est déployé maintenant, il sera difficile de le changer par la suite. Mais il est loin d'être abandonné - il va revenir sous peu (c'est l'idée derrière l'annonce de Mozilla et Opera).

[kedare]

Citation:

Envoyé par Emmanuel Deloget

Avec un peu de chance, la prochaine version du protocole sera plus correcte.

Vu la vitesse a la quelle ils sortent les versions, à dans 10 ans pour HTML 5.1
Non sérieusement faut pas les attendre et utiliser des plugins adaptés style Flash ou Silverlight. HTML5 est obsolète sur pas mal de points (notamment la vidéo) avant même de sortir...

[jpvincent]

C'est inquiétant, mais il y a pas lieu de paniquer :

• pour le moment, c'est une menace théorique avec une attaque à partir d'un proxy qu'il faut donc posséder et placer. Pas sur que ça intéresse des hackers : déploiement minuscule + hack ou possession de matos réseau = pas très rentable
• il faut fixer le protocole, et pour ça Mozilla, Google et les autres sont au W3C, je pense qu'ils vont faire ça vite
• Chrome a préparé un patch pour déploiement rapide, mais ils ont dit qu'ils allaient attendre qu'il y ait un vrai problème
• Flash et java sont aussi touchés. Et heureusement ou malheureusement ils ne vont pas sortir de version pour désactiver websocket
• une implémentation en prod qui n'a pas comme fallback Flash, c'est suicidaire

Bref, il ne devrait pas y avoir de perte de fonctionnalité sur les déploiements actuels et c'est un problème temporaire

[Traroth2]

Citation:

Envoyé par PitMaverick78

Troll On:
Ah ben il est beau le HTML5 qui doit tuer Silverlight

Parce que ça vie encore, Silverlight ?

[Arkal]

Google? Facile!
Un partenariat pour relger le probleme et prendre l'avantage sur les autres qui auront cessé l'utilisation...

[JackDaniels93]

C'est pas comme si html5 était un standard finalisé, c'est pour ça que le W3C déconseille de l'utiliser en production.

[dvdbly]

Citation:

Envoyé par jpvincent

[...]

• il faut fixer le protocole [...]

Et où faut-il le fixer ? Au mur ?

[abriotde]

Flash est horriblement lent et gourmant. Quant à Silverlight il est destiné à Windows et non au web, sont but est de mal supporter les autres platteformes pour à termes les évincées. Alors d'accord HTML5 n'est pas à mettre sur un serveur de prod d'une application d'entreprise de toute façon ils en sont encore à IE6... mais par contre il est déjà bien plus multiplateforme, performants et efficace que ces concurent. Cependant HTML5 n'est pas destiné, par essence même, à laisser libre cours à toute les fantaisies graphiques de façon à permettre une certaines interraction avec des écrans de tailles variées ou des capacité physique humaine altérée (aveugle avec liseuse braille). Enfin, et non des moindre à mon avis, HTML dans son ensemble est plus abordable au néophite car bien plus ouvert. N'importe qui apprends l'HTML avec un editeur de texte basique et un navigateur. On retrouve la phylosophie Linux. Code source ouvert simplicité et évolutivité poussée.

[kedare]

Flash lent ? On aura tout entendu...

[camus3]

Citation:

HTML dans son ensemble est plus abordable au néophite car bien plus ouvert

arrêtons l'hypocrisie 2 secondes la , quand on parle de html5 on parle des apis multimédias et autre dhtml , pas de la balise div ou p.
C'est une erreur de la part du W3C d'avoir établi ces standards sans revenir sur certains problèmes structurels du nets.
Enfin le w3c n'a pas à trancher sur les formats. La balise object est bien un standard en lui même , comme la balise img. Le W3C n'a pas à décider qu'il faille afficher du png plutôt que du jpeg.
Enfin quand on voit la lenteur du dom ( standard ) par rapport au dhtml ( non standard ) , les arguments de rapidité me font bien rigoler.
Bref on ajoute des étages à un château de cartes qui risque de s'écrouler, tout simplement parce que des gens veulent transformer javascript en flash...

[Tesing]

Citation:

Envoyé par kedare

Vu la vitesse a la quelle ils sortent les versions, à dans 10 ans pour HTML 5.1

Déjà faut qu'ils sortent la version 5. Ensuite faut que tous les navigateurs soient compatibles. Bref. Ça laisse à penser que c'est pas demain la veille qu'on aura des sites full HTML 5.

Ensuite, il y a des failles dans les protocoles pas encore implémentés. En même temps, mieux vaut s'en rendre compte maintenant. Comme ça, si un jour une version est implémenté, ça fera toujours une faille de moins.

On n'arrête pas le progrès.

Citation:

Envoyé par abriotde

Flash est horriblement lent et gourmand.

Essaye de programmer des animations en Javascript CSS sur un autre navigateur que Chrome et revient en discuter.

[Camille_B]

C'est amusant parce que le sujet c'est le protocole websockets, et les commentaires nous parlent de html5.

Doit-on rappeler qu'il ne s'agit pas tout à fait de la même chose ?

Quand au titre de cette brève... Opera et Firefox ne cessent pas de supporter websocket, ils demandent simplement de revoir la définition actuelle du protocole.

Encore une fois, beaucoup de grands mots !

[ferber]

Citation:

Envoyé par abriotde

. On retrouve la phylosophie Linux. Code source ouvert simplicité et évolutivité poussée.

entre un speudo language de tag et des langages tel que c#, java, action script je trouve qu'ils y'a un fossé, ces derniers sont plus dur a aborder mais simple à Maintenir/structurer.
Par contre il est vraie qu'avec ces langages on ne peut pas s'auto-proclamer développeur en 20 minute. Contrairement au html qui permet a tout a chacun de ce faire passer pour un développeur/web-master.

D'autant que la simplicité de linux c'est comme sur les autre plateforme c'est relatif a ce que l'on souhaite faire. Pour le html il n'y a pas vraiment de différence entre windows/mac/linux.

Dans tous les cas je suis assez content que le html5 commence à s'effilocher.
Quand je pense à tous les Anti-flash/java/c#/progrès/ie/ qui doivent grincer des dents ça me met de bonne humeur.

[kedare]

Citation:

Envoyé par Tesing

Essaye de programmer des animations en Javascript CSS sur un autre navigateur que Chrome et revient en discuter.

Chrome aussi, genre va sur cette page: http://www.me.com/
Oh le jolie effet de particule en JS qui pompe tous le CPU (Qui se désactive quand il perd le focus)

[hivenz]

Citation:

Envoyé par PitMaverick78

Troll On:
Ah ben il est beau le HTML5 qui doit tuer Silverlight

[Troll]Ah bon, y'a du Silverlight sur le net à part les sites de Microsoft [/Troll]

[Camille_B]

Citation:

Par contre il est vraie qu'avec ces langages on ne peut pas s'auto-proclamer développeur en 20 minute. Contrairement au html qui permet a tout a chacun de ce faire passer pour un développeur/web-master.

1) Le html c'est un langage de balise conçu pour structurer des documents, ça n'est pas un langage de programmation au sens classique du terme, donc le parallèle est vaseux.

2) Être développeur c'est avoir sué sang et eau, ça fonctionne au mérite ? Un gars qui fait un programme en 10 minutes et un autre qui le fait en assembleur en 1 journée, y en a un qu'est un vrai développeur, un couillu, un dur, et l'autre une lopette, c'est ça ?

3) Vu les difficultés à développer en javascript (raison de compatibilité de navigateurs) évoquées plus haut par rapport à la soit-disante facilité de C#/java, vous devriez pro Html5/Javascript ! Un truc de couillu ça (j'entends : Javascript sans les bibliothèques jQuery/Scriptaculous etc.)

[Flaburgan]

Citation:

Envoyé par hivenz

[Troll]Ah bon, y'a du Silverlight sur le net à part les sites de Microsoft [/Troll]

France télévision notamment. A mon grand désespoir.

[singman]

Pour l'article :
"avait dernièrement la cotte". Si c'était une cotte de maille, c'est bien, mais sinon j'écrirai plutôt côte (voir côt, si j'étais un gallinacé).