IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Le protocole WebSocket doit-il être évincé ? Mozilla et Opera cessent de le supporter


Sujet :

Sécurité

  1. #1
    Expert éminent sénior
    Avatar de Katleen Erna
    Profil pro
    Inscrit en
    juillet 2009
    Messages
    1 547
    Détails du profil
    Informations personnelles :
    Localisation : France, Paris (Île de France)

    Informations forums :
    Inscription : juillet 2009
    Messages : 1 547
    Points : 75 990
    Points
    75 990
    Par défaut Le protocole WebSocket doit-il être évincé ? Mozilla et Opera cessent de le supporter
    Le protocole WebSocket doit-il être évincé ? Mozilla et Opera cessent de le supporter, suite à la découverte de failles de sécurité

    WebSocket, à la fois protocole et API, avait dernièrement la cotte du fait de sa position de spécification potentielle du futur standard de l'HTML5. Mais un coup de théâtre vient de frapper son destin : des failles de sécurité ont été découvertes en son sein.

    Les vulnérabilités se situent au niveau du canal bidirectionnel et fullduplex que Web Socket ouvre entre le navigateur et le serveur. La négociation qui s'y joue pose problème : quand le browser envoie une requête, cela crée une handshake (poignée de main). Mais cette action ouvre la voie à un empoisonnement du cache, qui peut alors voir un fichier JavaScript être remplacé par un logiciel malveillant.

    Et les navigateurs ne peuvent rien faire d'autre pour contrecarrer cette menace, que de cesser de prendre en charge le protocole défectueux. Mozilla et Opera se sont déjà prononcés sur la question : les versions 4 de Firefox et 11 de Opera, ne supporteront pas le WebSocket (le code permettant cette action sera néanmoins présent, mais désactivé).

    Microsoft quant à lui, n'aura pas à se poser la question, puisqu'Internet Explorer 9 ne gère pas le protocole.

    Source : Mozilla

    A votre avis, que vont décider Apple et Google concernant leurs navigateurs respectifs ?

    Le WebSocket est-il un danger ? Pourra-t-il être corrigé ?

  2. #2
    Rédacteur
    Avatar de Nathanael Marchand
    Homme Profil pro
    Expert .Net So@t
    Inscrit en
    octobre 2008
    Messages
    3 615
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 35
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Expert .Net So@t
    Secteur : Conseil

    Informations forums :
    Inscription : octobre 2008
    Messages : 3 615
    Points : 8 054
    Points
    8 054
    Par défaut
    Troll On:
    Ah ben il est beau le HTML5 qui doit tuer Silverlight

    Plus serieux:
    C'est dommage, les communications duplex c'est fort pratique!

  3. #3
    Expert confirmé

    Homme Profil pro
    Développeur informatique
    Inscrit en
    septembre 2007
    Messages
    1 895
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 45
    Localisation : France, Bouches du Rhône (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Opérateur de télécommunications

    Informations forums :
    Inscription : septembre 2007
    Messages : 1 895
    Points : 4 545
    Points
    4 545
    Par défaut
    Avec un peu de chance, la prochaine version du protocole sera plus correcte.

    J'ai le research paper sur lequel la décision de Mozilla et Opera est basée, et il dit en gros que WebSocket (tel qu'implémenté par Webkit) est grosso-modo aussi sensible que les sockets Java ou les sockets Flash sur des types d'attaque qui sont très particulières (cache poisonning et firewall circumvention). Ces attaques, effectuées au hasard sur les internautes, ont un rendement inférieur à 0,20%.

    Comparé à une faille de sécurité classique (100% des attaqué pendant une période de temps donnée), c'est quand même très pointu.

    C'est très bien que Opera et Mozilla n'acceptent pas un protocole faillible comme base de travail - d'autant plus que si ce protocole est déployé maintenant, il sera difficile de le changer par la suite. Mais il est loin d'être abandonné - il va revenir sous peu (c'est l'idée derrière l'annonce de Mozilla et Opera).
    [FAQ des forums][FAQ Développement 2D, 3D et Jeux][Si vous ne savez pas ou vous en êtes...]
    Essayez d'écrire clairement (c'est à dire avec des mots français complets). SMS est votre ennemi.
    Evitez les arguments inutiles - DirectMachin vs. OpenTruc ou G++ vs. Café. C'est dépassé tout ça.
    Et si vous êtes sages, vous aurez peut être vous aussi la chance de passer à la télé. Ou pas.

    Ce site contient un forum d'entraide gratuit. Il ne s'use que si l'on ne s'en sert pas.

  4. #4
    Membre chevronné
    Avatar de kedare
    Homme Profil pro
    Network Automation Engineer
    Inscrit en
    juillet 2005
    Messages
    1 543
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Loire Atlantique (Pays de la Loire)

    Informations professionnelles :
    Activité : Network Automation Engineer

    Informations forums :
    Inscription : juillet 2005
    Messages : 1 543
    Points : 1 784
    Points
    1 784
    Par défaut
    Citation Envoyé par Emmanuel Deloget Voir le message
    Avec un peu de chance, la prochaine version du protocole sera plus correcte.
    Vu la vitesse a la quelle ils sortent les versions, à dans 10 ans pour HTML 5.1
    Non sérieusement faut pas les attendre et utiliser des plugins adaptés style Flash ou Silverlight. HTML5 est obsolète sur pas mal de points (notamment la vidéo) avant même de sortir...

  5. #5
    Membre éclairé

    Profil pro
    Inscrit en
    février 2010
    Messages
    119
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : février 2010
    Messages : 119
    Points : 777
    Points
    777
    Par défaut
    C'est inquiétant, mais il y a pas lieu de paniquer :
    • pour le moment, c'est une menace théorique avec une attaque à partir d'un proxy qu'il faut donc posséder et placer. Pas sur que ça intéresse des hackers : déploiement minuscule + hack ou possession de matos réseau = pas très rentable
    • il faut fixer le protocole, et pour ça Mozilla, Google et les autres sont au W3C, je pense qu'ils vont faire ça vite
    • Chrome a préparé un patch pour déploiement rapide, mais ils ont dit qu'ils allaient attendre qu'il y ait un vrai problème
    • Flash et java sont aussi touchés. Et heureusement ou malheureusement ils ne vont pas sortir de version pour désactiver websocket
    • une implémentation en prod qui n'a pas comme fallback Flash, c'est suicidaire


    Bref, il ne devrait pas y avoir de perte de fonctionnalité sur les déploiements actuels et c'est un problème temporaire

  6. #6
    Membre émérite

    Profil pro
    Inscrit en
    décembre 2003
    Messages
    3 995
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : décembre 2003
    Messages : 3 995
    Points : 2 388
    Points
    2 388
    Par défaut
    Citation Envoyé par PitMaverick78 Voir le message
    Troll On:
    Ah ben il est beau le HTML5 qui doit tuer Silverlight
    Parce que ça vie encore, Silverlight ?

  7. #7
    Membre régulier
    Inscrit en
    juin 2004
    Messages
    75
    Détails du profil
    Informations forums :
    Inscription : juin 2004
    Messages : 75
    Points : 97
    Points
    97
    Par défaut
    Google? Facile!
    Un partenariat pour relger le probleme et prendre l'avantage sur les autres qui auront cessé l'utilisation...

  8. #8
    Membre du Club
    Homme Profil pro
    Développeur Web
    Inscrit en
    août 2008
    Messages
    32
    Détails du profil
    Informations personnelles :
    Sexe : Homme

    Informations professionnelles :
    Activité : Développeur Web

    Informations forums :
    Inscription : août 2008
    Messages : 32
    Points : 67
    Points
    67
    Par défaut
    C'est pas comme si html5 était un standard finalisé, c'est pour ça que le W3C déconseille de l'utiliser en production.

  9. #9
    Membre averti
    Homme Profil pro
    Buisint
    Inscrit en
    septembre 2008
    Messages
    220
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 51
    Localisation : France, Bas Rhin (Alsace)

    Informations professionnelles :
    Activité : Buisint

    Informations forums :
    Inscription : septembre 2008
    Messages : 220
    Points : 413
    Points
    413
    Par défaut
    Citation Envoyé par jpvincent Voir le message
    [...]
    • il faut fixer le protocole [...]

    Et où faut-il le fixer ? Au mur ?

  10. #10
    Membre chevronné
    Homme Profil pro
    Développeur informatique
    Inscrit en
    juillet 2007
    Messages
    841
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 39
    Localisation : France, Loire Atlantique (Pays de la Loire)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Opérateur de télécommunications

    Informations forums :
    Inscription : juillet 2007
    Messages : 841
    Points : 1 833
    Points
    1 833
    Par défaut flash / silverlight / Java... ce ne sont pas des standard.
    Flash est horriblement lent et gourmant. Quant à Silverlight il est destiné à Windows et non au web, sont but est de mal supporter les autres platteformes pour à termes les évincées. Alors d'accord HTML5 n'est pas à mettre sur un serveur de prod d'une application d'entreprise de toute façon ils en sont encore à IE6... mais par contre il est déjà bien plus multiplateforme, performants et efficace que ces concurent. Cependant HTML5 n'est pas destiné, par essence même, à laisser libre cours à toute les fantaisies graphiques de façon à permettre une certaines interraction avec des écrans de tailles variées ou des capacité physique humaine altérée (aveugle avec liseuse braille). Enfin, et non des moindre à mon avis, HTML dans son ensemble est plus abordable au néophite car bien plus ouvert. N'importe qui apprends l'HTML avec un editeur de texte basique et un navigateur. On retrouve la phylosophie Linux. Code source ouvert simplicité et évolutivité poussée.
    Tout ce que j'écris est libre de droits (Licence CC0) et je vous incite à faire de même.

  11. #11
    Membre chevronné
    Avatar de kedare
    Homme Profil pro
    Network Automation Engineer
    Inscrit en
    juillet 2005
    Messages
    1 543
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Loire Atlantique (Pays de la Loire)

    Informations professionnelles :
    Activité : Network Automation Engineer

    Informations forums :
    Inscription : juillet 2005
    Messages : 1 543
    Points : 1 784
    Points
    1 784
    Par défaut
    Flash lent ? On aura tout entendu...

  12. #12
    Membre éprouvé
    Profil pro
    Inscrit en
    juillet 2010
    Messages
    657
    Détails du profil
    Informations personnelles :
    Localisation : France, Paris (Île de France)

    Informations forums :
    Inscription : juillet 2010
    Messages : 657
    Points : 1 237
    Points
    1 237
    Par défaut
    HTML dans son ensemble est plus abordable au néophite car bien plus ouvert
    arrêtons l'hypocrisie 2 secondes la , quand on parle de html5 on parle des apis multimédias et autre dhtml , pas de la balise div ou p.
    C'est une erreur de la part du W3C d'avoir établi ces standards sans revenir sur certains problèmes structurels du nets.
    Enfin le w3c n'a pas à trancher sur les formats. La balise object est bien un standard en lui même , comme la balise img. Le W3C n'a pas à décider qu'il faille afficher du png plutôt que du jpeg.
    Enfin quand on voit la lenteur du dom ( standard ) par rapport au dhtml ( non standard ) , les arguments de rapidité me font bien rigoler.
    Bref on ajoute des étages à un château de cartes qui risque de s'écrouler, tout simplement parce que des gens veulent transformer javascript en flash...

  13. #13
    Membre confirmé
    Avatar de Tesing
    Profil pro
    Étudiant
    Inscrit en
    septembre 2009
    Messages
    272
    Détails du profil
    Informations personnelles :
    Âge : 38
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Étudiant
    Secteur : Enseignement

    Informations forums :
    Inscription : septembre 2009
    Messages : 272
    Points : 453
    Points
    453
    Par défaut
    Citation Envoyé par kedare Voir le message
    Vu la vitesse a la quelle ils sortent les versions, à dans 10 ans pour HTML 5.1
    Déjà faut qu'ils sortent la version 5. Ensuite faut que tous les navigateurs soient compatibles. Bref. Ça laisse à penser que c'est pas demain la veille qu'on aura des sites full HTML 5.

    Ensuite, il y a des failles dans les protocoles pas encore implémentés. En même temps, mieux vaut s'en rendre compte maintenant. Comme ça, si un jour une version est implémenté, ça fera toujours une faille de moins.

    On n'arrête pas le progrès.

    Citation Envoyé par abriotde Voir le message
    Flash est horriblement lent et gourmand.
    Essaye de programmer des animations en Javascript CSS sur un autre navigateur que Chrome et revient en discuter.
    Keep it simple, stupid !

  14. #14
    Membre éclairé Avatar de Camille_B
    Homme Profil pro
    Webmaster
    Inscrit en
    septembre 2006
    Messages
    212
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Webmaster
    Secteur : Associations - ONG

    Informations forums :
    Inscription : septembre 2006
    Messages : 212
    Points : 654
    Points
    654
    Par défaut
    C'est amusant parce que le sujet c'est le protocole websockets, et les commentaires nous parlent de html5.

    Doit-on rappeler qu'il ne s'agit pas tout à fait de la même chose ?

    Quand au titre de cette brève... Opera et Firefox ne cessent pas de supporter websocket, ils demandent simplement de revoir la définition actuelle du protocole.

    Encore une fois, beaucoup de grands mots !

  15. #15
    Membre éprouvé

    Profil pro
    Inscrit en
    novembre 2009
    Messages
    612
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : novembre 2009
    Messages : 612
    Points : 1 175
    Points
    1 175
    Par défaut
    Citation Envoyé par abriotde Voir le message
    . On retrouve la phylosophie Linux. Code source ouvert simplicité et évolutivité poussée.
    entre un speudo language de tag et des langages tel que c#, java, action script je trouve qu'ils y'a un fossé, ces derniers sont plus dur a aborder mais simple à Maintenir/structurer.
    Par contre il est vraie qu'avec ces langages on ne peut pas s'auto-proclamer développeur en 20 minute. Contrairement au html qui permet a tout a chacun de ce faire passer pour un développeur/web-master.

    D'autant que la simplicité de linux c'est comme sur les autre plateforme c'est relatif a ce que l'on souhaite faire. Pour le html il n'y a pas vraiment de différence entre windows/mac/linux.

    Dans tous les cas je suis assez content que le html5 commence à s'effilocher.
    Quand je pense à tous les Anti-flash/java/c#/progrès/ie/ qui doivent grincer des dents ça me met de bonne humeur.
    Flash player ActionScript Virtual Machine 2 http://www.mozilla.org/projects/tamarin/
    fonctionnement de la machine virtuel : (ActionScript Virtual Machine 2 (AVM2)) :
    http://www.adobe.com/content/dam/Ado...m2overview.pdf

  16. #16
    Membre chevronné
    Avatar de kedare
    Homme Profil pro
    Network Automation Engineer
    Inscrit en
    juillet 2005
    Messages
    1 543
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Loire Atlantique (Pays de la Loire)

    Informations professionnelles :
    Activité : Network Automation Engineer

    Informations forums :
    Inscription : juillet 2005
    Messages : 1 543
    Points : 1 784
    Points
    1 784
    Par défaut
    Citation Envoyé par Tesing Voir le message
    Essaye de programmer des animations en Javascript CSS sur un autre navigateur que Chrome et revient en discuter.
    Chrome aussi, genre va sur cette page: http://www.me.com/
    Oh le jolie effet de particule en JS qui pompe tous le CPU (Qui se désactive quand il perd le focus)

  17. #17
    Membre averti
    Inscrit en
    avril 2007
    Messages
    143
    Détails du profil
    Informations personnelles :
    Âge : 33

    Informations forums :
    Inscription : avril 2007
    Messages : 143
    Points : 345
    Points
    345
    Par défaut
    Citation Envoyé par PitMaverick78 Voir le message
    Troll On:
    Ah ben il est beau le HTML5 qui doit tuer Silverlight
    [Troll]Ah bon, y'a du Silverlight sur le net à part les sites de Microsoft [/Troll]

  18. #18
    Membre éclairé Avatar de Camille_B
    Homme Profil pro
    Webmaster
    Inscrit en
    septembre 2006
    Messages
    212
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Webmaster
    Secteur : Associations - ONG

    Informations forums :
    Inscription : septembre 2006
    Messages : 212
    Points : 654
    Points
    654
    Par défaut
    Par contre il est vraie qu'avec ces langages on ne peut pas s'auto-proclamer développeur en 20 minute. Contrairement au html qui permet a tout a chacun de ce faire passer pour un développeur/web-master.
    1) Le html c'est un langage de balise conçu pour structurer des documents, ça n'est pas un langage de programmation au sens classique du terme, donc le parallèle est vaseux.

    2) Être développeur c'est avoir sué sang et eau, ça fonctionne au mérite ? Un gars qui fait un programme en 10 minutes et un autre qui le fait en assembleur en 1 journée, y en a un qu'est un vrai développeur, un couillu, un dur, et l'autre une lopette, c'est ça ?

    3) Vu les difficultés à développer en javascript (raison de compatibilité de navigateurs) évoquées plus haut par rapport à la soit-disante facilité de C#/java, vous devriez pro Html5/Javascript ! Un truc de couillu ça (j'entends : Javascript sans les bibliothèques jQuery/Scriptaculous etc.)

  19. #19
    Modérateur
    Avatar de Flaburgan
    Homme Profil pro
    Développeur Web
    Inscrit en
    avril 2010
    Messages
    1 229
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Isère (Rhône Alpes)

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : High Tech - Électronique et micro-électronique

    Informations forums :
    Inscription : avril 2010
    Messages : 1 229
    Points : 3 551
    Points
    3 551
    Par défaut
    Citation Envoyé par hivenz Voir le message
    [Troll]Ah bon, y'a du Silverlight sur le net à part les sites de Microsoft [/Troll]
    France télévision notamment. A mon grand désespoir.
    "Historiquement, techniquement, économiquement et moralement, Internet ne peut pas être contrôlé. Autant s’y faire." Laurent Chemla

    Je soutiens Diaspora*, le réseau social libre.

    Veillez à porter une attention toute particulière à l'orthographe...

    Blog collaboratif avec des amis : http://geexxx.fr

    Mon avatar a été fait par chiqitos, merci à lui !

  20. #20
    Membre actif
    Profil pro
    Inscrit en
    septembre 2009
    Messages
    156
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : septembre 2009
    Messages : 156
    Points : 296
    Points
    296
    Par défaut
    Pour l'article :
    "avait dernièrement la cotte". Si c'était une cotte de maille, c'est bien, mais sinon j'écrirai plutôt côte (voir côt, si j'étais un gallinacé).

Discussions similaires

  1. Réponses: 0
    Dernier message: 10/12/2010, 18h37
  2. Réponses: 2
    Dernier message: 10/12/2007, 12h56
  3. Réponses: 5
    Dernier message: 24/10/2007, 17h45
  4. Réponses: 6
    Dernier message: 02/10/2007, 00h23

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo