Сообщается, что Mozilla и Opera Software приняли решение ограничить поддержку этого протокола в последних версиях своих обозревателей - Firefox 4 и Opera 11 - по соображениям безопасности: WebSocket оказался уязвим для опасных атак со стороны потенциальных злоумышленников.
Проблема, о которой идет речь, была обнаружена командой специалистов по защите информации в конце предыдущего месяца. Результаты проведенного ими исследования гласят, что открытые прокси-серверы при работе с WebSocket некорректно распознают служебные сигналы подтверждения установки соединений и интерпретируют заключительные байты этих сигналов как валидные HTTP-запросы.
Согласно записи в блоге Mozilla Hacks, оставленной разработчиком Кристианом Хайльманном, подобная уязвимость довольно опасна, причем от конкретного браузера она никак не зависит. Изъяны в протоколе WebSocket могут позволить злоумышленнику, к примеру, подменить в кэше любой легитимный JavaScript-файл (скажем, от системы Google Analytics) на вредоносный.
Стоит, однако, отметить, что ни Mozilla, ни Opera Software не будут полностью отказываться от поддержки WebSocket: соответствующий функционал по умолчанию отключат в настройках обозревателя. Возможность активировать его оставят для нужд пользователей, заинтересованных в тестировании уязвимого протокола, причем в Firefox соответствующий параметр конфигурации будет скрыт.
Технологии WebSocket используются и в других популярных браузерах - Chrome версии 4 и выше, а также Safari 5. Г-н Хайльманн, однако, выразил уверенность в том, что Google и Apple вскоре последуют примеру Mozilla и Opera Software и отключат поддержку протокола вплоть до момента исправления всех опасных недочетов и ошибок.
