WebSockets in Firefox 4 wegen Lücke im Protokolldesign deaktiviert [Update]

Eine Schwachstelle im WebSocket-Design hat die Mozilla-Foundation veranlasst, die Unterstützung des Protokolls ab der kommenden Beta-Version 8 für Firefox 4 abzuschalten. Die Schwachstelle ermöglicht es in Zusammenhang mit transparenten Proxies, deren Caches zu vergiften und manipulierte Seiten einzuschleusen.

Ein Angreifer könnte auf diese Weise ein präpariertes JavaScript für Google Analytics in den Proxy-Cache schleusen, das bei allen weiteren Anfragen an die Clients ausgeliefert und in deren Browser ausgeführt wird. Das Problem wurde von einer Forschergruppe bereits im November auf der IETF-Mailingliste beschrieben. In ihrem Dokument machen die Forscher Vorschläge, wie man die Schwachstelle beseitigt. Grundsätzlich sind Flash und Java ebenfalls von dem Problem betroffen.

Die Firefox-Entwickler wollen WebSockets erst wieder anschalten, wenn eine neue, verbesserte Version des Protokolls verabschiedet wird. Der Code bleibt aber weiter im Firefox enthalten, Entwickler können sie für Testzwecke über eine versteckte Option auch wieder aktivieren. Aktuell ist die Protokollversion 76, die bereits von Chrome und Safari unterstützt wird. WebSockets ermöglichen eine dauerhafte Verbindung zwischen Client und Server, wobei der Server eigenständig Daten an einen Client senden kann. Bei herkömmlichen Verbindungen wird der Server vom Client dazu per GET oder POST aufgefordert.

[Update:] Die Opera-Entwickler wollen in Version 11 ihres Browsers die WebSockets ebenfalls aus Sicherheitsgründen abschalten. (dab)