Abysse Tech

HiTech 4 All

Le danger des websockets

Le danger inopportun des WebSockets !!!

by

Le Web-Socket est un avènement de l’HTML 5 tant attendu par les Web-développeurs et indirectement par les internautes.

Ils permettent d’ouvrir une connexion persistante entre un navigateur et un serveur à l’instar du Java.

Ceci aura pour conséquence directe de révolutionner le web que l’on connait et peut-être donner naissance au phénomène du Web 3.0.

Par exemple, une des applications qui illustrent parfaitement le principe est le développement d’un chat en HTML5 ou encore le support de jeux en ligne sur navigateur encore plus évolués…. Une connexion directe permet d’accroitre sensiblement l’interactivité et la proximité avec un internaute.

Pour rappel, actuellement, la connexion avec un serveur Web fonctionne uniquement sur sollicitation sous forme de requêtes. Par exemple, le navigateur envoie au serveur, « je veux la page google.fr », ainsi google génère une page calculée, et l’envoi au client tout en fermant la connexion. Tandis qu’avec une socket ouverte, le principe des requêtes restent le même et cela permettrait de se passer des phases de « connexion au serveur » pour actualiser une page. Au niveau de google, cela pourrrait par exemple leur permettre d’afficher les résultats de Google Instant en quasi-instantanés ou la réception des Web-mails en instantanée sans pour autant provoquer un refresh à X-intervalles.

Bref, comme vous pouvez aisément le deviner, cela pose d’énormes problèmes en sécurité d’où l’hostilité des browsers à son égard.

Mozilla Firefox et Opera viennent cette semaine de reporter l’implémentation des web-sockets dans leurs futurs navigateurs respectifs.

Ils sont particulièrement conscients que faire machine arrière dans la proposition d’une révolution est une pilule difficile à avaler pour un client qui y aura gouté. De même qu’une course effrénée aux mises à jour pour pallier aux failles engendrera énormément d’insatisfaction qui se traduira par une fuite de la clientèle.

Cependant, l’intégration des web-sockets a été faites il y a un an sur Google Chrome, Apple les a talonné de près avec Safari 5 tandis que Firefox et Opéra avait prévu de l’intégrer dans les versions respectives 4 et 11.

Le 26 novembre dernier, Adam Barth, un expert en securité, a publié un PDF dans lequel il stipule que lors de l’étape de connexion entre le navigateur et le serveur, nommée « hand-shaking », il est possible de faire ce que l’on appelle du « cache-poisoning » (littéralement empoisonnement de cache)

Alors que Firefox travaillait en étroite collaboration avec IETF, ils ont décidé donc de repousser l’intégration jusqu’à la certification de la stabilité du standard des web Sockets, même s’il faudra le déployer dans une mise à jour mineure. (IETF = Internet Engineering Task Force : ils sont chargés de communiquer aux demandeurs les protocoles de communications utilisés par les standards décidé par Le World Wide Web Consortium (W3C))

Opéra quant à lui a annoncé sur un article de blog que tant que l’IETF n’a pas un nouveau protocole de connexion à proposer, Opera ne l’integrera pas.

Microsoft qui a utilisé une grande partie de son énergie dans l’implémentation efficiente des normes de l’HTML 5 (en concordance avec les derniers benchmarks SunSpider durant lesquels I.E 9 était le plus rapide concernant l’HTML 5) s’est aussi méfié du rush vers les web-sockets et ne l’a donc pas implémenté.

Apple s’est également prononcé suite à la release du PDF d’Adam, et affirme qu’ils se tiendraient prêt à enlever le support des Web-Sockets dans un prochain patch si aucune correction ne venait d’ici là.

Google quant à lui, devient le petit canard noir du groupe en affichant une confiance aveugle dans l’équipe IETF qui devrait apporter une « version plus sure » et que Chrome l’intégrerait avant même que quelconque pratique malicieuse  n’est pu s’effectuée. Ils précisent aussi, qu’il est important qu’Adam ne divulgue pas comment pratiquer « le cache-poisoning »

En conclusion, on notera des grosses zones d’ombres sur cette nouvelles technologies web, qui est censé révolutionner l’internet que l’on connait. (à moindre mesure que Loppsi II, pour le clin d’oeil)

Étiquettes : , , , , , , , , , ,

2 Comments

  • Melissa
    19 mai 2016 @ 0 h 55 min

    BTW, I would love to check out the list and get back to you onwhich ones I read. I'm not up on any of them, so any good sugnestiogs? Since you can't put Something Borrowed down, perhaps I should get that one?

  • autokredit vergleich
    9 mars 2017 @ 21 h 54 min

    Great gadget. But I would like to have an option to allow visitors to reorder and/or delte songs. As now visitors can (if allowed) add how many songs they like, but only the site owner can reorder and delete.

Leave A Comment