Eiji Kitamura
Specyfikacja protokołu WebSocket została niedawno zaktualizowana, aby rozwiązać wcześniejsze problemy z bezpieczeństwem. Obecnie jest ona w dużej mierze stabilna. Poniżej znajduje się podsumowanie wprowadzonych zmian oraz uwagi na temat bieżących implementacji.
Co się zmieniło od wersji WebSocket HyBi 00?
- Format ramki protokołu został zmieniony. HyBi 00 używało
"0x00"dla ruchów głowy i"0xff"dla ogona w przypadku każdej klatki. HyBi 10 używa teraz nowego formatu:
0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-------+-+-------------+-------------------------------+
|F|R|R|R| opcode|M| Payload len | Extended payload length |
|I|S|S|S| (4) |A| (7) | (16/63) |
|N|V|V|V| |S| | (if payload len==126/127) |
| |1|2|3| |K| | |
+-+-+-+-+-------+-+-------------+ - - - - - - - - - - - - - - - +
| Extended payload length continued, if payload len == 127 |
+ - - - - - - - - - - - - - - - +-------------------------------+
| |Masking-key, if MASK set to 1 |
+-------------------------------+-------------------------------+
| Masking-key (continued) | Payload Data |
+-------------------------------- - - - - - - - - - - - - - - - +
: Payload Data continued ... :
+ - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - +
| Payload Data continued ... |
+---------------------------------------------------------------+
Problemy dotyczące bezpieczeństwa zostały rozwiązane
- Zamiast 3 kluczy HyBi 00 dodawane są klucze
Sec-WebSocket-KeyiSec-WebSocket-Accept. Przeglądarka nadajeSec-WebSocket-Keylosowo wygenerowany numer. Następnie serwer używa go z specyficznym identyfikatorem GUID protokołu WebSocket (258EAFA5-E914-47DA-95CA-C5AB0DC85B11) i SHA1 / BASE64 itp., aby zwrócićSec-WebSocket-Accept, dzięki czemu przeglądarka może potwierdzić, że rozumie WebSocket. Zapobiega to atakom międzyprotokołowym. - W przypadku każdej klatki wymagane jest teraz maskowanie klatek. Zapobiega to zatruwaniu pamięci podręcznej na serwerze proxy.
Sec-WebSocket-Originjest dodawane, aby uniemożliwić dostęp skryptom, których dostawca usługi nie zna. - Zamiast klucza Origin usługi HyBi 00 dodawany jest klucz
Sec-WebSocket-Origin, aby uniemożliwić dostęp skryptom, których dostawca usługi nie zna. Pamiętaj, że w przypadku HyBi 11 będzie to tylko „Origin”.
Zmiany interfejsu JS API
- Argument
subprotocolmoże teraz być tablicą, co pozwala na użycie sygnatury metodynew WebSocket(String url, Array subprotocol) - Atrybut
.protocol[string] - Atrybut
.binaryType[Blob|ArrayBuffer] .extension[Ciąg tekstowy]- Do
CloseEventdodano kod stanu i przyczynę (przyczyny zamknięcia połączenia). Zmieniliśmy też funkcjęclose(), aby przyjmowała te 2 argumenty.
Rozszerzenia
- Dodano
Sec-WebSocket-Extensions. Proponowane rozszerzenia: deflate-framepowoduje kompresję klatek w źródle i ich wyodrębnienie w miejscu docelowym.x-google-mux, aby obsługiwać multipleksowanie, ale jest to rozwiązanie na wczesnym etapie.
Czy HyBi 00 i HyBi 10 są zgodne z implementacją na serwerze i w przeglądarce?
- Implementacje serwera mogą obsługiwać zarówno HyBi 00, jak i HyBi 10, analizując nagłówek HTTP protokołu inicjalizacji. Nie zalecamy jednak obsługi HyBi 00, ponieważ jest ona podatna na ataki.
- Interfejs WebSocket JavaScript API jest w dużej mierze podobny w starej i nowej wersji. Jak wspomnieliśmy powyżej, nie zalecamy obsługi HyBi 00, ponieważ jest ona podatna na ataki.
Która przeglądarka obsługuje HyBi 10?
- Chrome 14 obsługuje protokół HyBi 10, ale wspomniane powyżej zmiany w interfejsie WebSocket JavaScript API są nadal w przygotowaniu. Zamierzamy także obsługiwać HyBi 10 w przeglądarce Firefox 7.