WebSocketがセキュリティ問題を解決して再び実装へ

2011年7月19日

Webブラウザとサーバのあいだで専用のプロトコルを用いて通信を行うことで、サーバからのプッシュなど、より柔軟なデータのやりとりをWebブラウザとサーバ間で可能にするWebSocket。当初はHTML5仕様の一部として検討され、その後独立した仕様となりましたが、昨年12月にセキュリティ上の問題が発覚。見直しが行われていました。

WebSocketはプロトコルをIETFが、APIをW3Cが策定中ですが、IETFがセキュリティ問題を解決したプロトコル仕様のラストコールを発表しています。いつもWeb標準の動向を伝えてくれる「Web標準Blog」の記事「WebSocketプロトコルがLast Callに」が伝えています。

過去のバージョンとの互換性はなし

WebSocketは、昨年にFirefox 4やOperaに実装されましたが、プロトコルにセキュリティの問題が発覚。いったん機能が無効になりました。

セキュリティの問題とはどのようなものだったのか、上記の記事から引用します。

一部のネットワーク環境下において、Firewall背後のサーバにブラウザを介して不正アクセスされてしまうことと、任意ドメインのファイルがキャッシュ汚染されてしまうことの2種類の攻撃が可能である事が指摘されています。

今回のWebSocket仕様のアップデートを受けて、モジラでは来月登場予定のFirefox 6で新しいバージョンのWebSocketを実装する予定のようです

またモジラによると新しいバージョンのWebSocketは以前のWebSocketとは互換性がないため、以前のバージョンのWebSocketを実装したサーバでは、新しいバージョンのWebScoketを実装したFirefoxとは通信できないとのこと。サーバ側にも新バージョンのWebSocketに対応した実装が必要となるようです。

このエントリーをはてなブックマークに追加
follow us in feedly


関連タグ HTML/CSS / Web技術 / Web標準



タグクラウド(β版)

クラウド / AWS / Azure / Google Cloud
コンテナ / Docker / Kubernetes
クラウドネイティブ / サーバレス
クラウド障害 / 運用・監視

プログラミング言語 / 開発ツール
JavaScript / Java / .NET / WebAssembly
HTML/CSS / Web標準

アジャイル開発 / スクラム / DevOps / CI/CD
ソフトウェアテスト・品質
ローコード/ノーコード開発

データベース / RDB / NoSQL / 機械学習・AI
Oracle Database / MySQL / PostgreSQL
Office / 業務アプリケーション

ネットワーク / HTTP / QUIC / セキュリティ
OS / Windows / Linux / VMware
ハードウェア / サーバ / ストレージ

業界動向 / 働き方 / 給与・年収
編集後記 / 殿堂入り / おもしろ

全てのタグを見る

Blogger in Chief

photo of jniino

Junichi Niino(jniino)
IT系の雑誌編集者、オンラインメディア発行人を経て独立。2009年にPublickeyを開始しました。
詳しいプロフィール

Publickeyの新着情報をチェックしませんか?
Twitterで : @Publickey
Facebookで : Publickeyのページ
RSSリーダーで : Feed


最新記事10本