你奶奶从1994年起就开始编写网站代码，最近开始深入研究HTML5。但作为她的网络应用安全顾咨询，你会推举她用WebSockets编写代码吗？让我们看看我们在2012年美国黑帽大会上所做的对于用WebSockets举行黑客攻击的演说所做的研究，看看能不能帮奶奶https://blog.qualys.com/securitylabs/2012/08/15/will-you-let-your-gramman-use-websockets/attachment/gramman-png"数据源文件="https://blog.qualys.com/wp-content/uploads/2012/08/grandma.png"data orig size="380，270个数据评论开放了270个数据评论开放了"1"开放数据数据评论的"1"数据图像元数据"数据图片元数据"{报价报价；光阑光阑报价；报价；0"；报价；信用&报价；报价；报价；摄像头；摄像头；报价；摄像头；报价；报价；摄像头；报价；报价；报价；报价；报价；报价；报价；创建；创建的时刻戳；时刻戳；报价；报价；0；报价；还；版权；版权；报价；报价；版权；报价；版权；报价；报价；版权；报价；报价；报价；版权；报价；报价；报价；报价；报价；报价；报价；报价；报价；报价；改除除除除长度长度以外的长度；报价；报价；合用的长度；长度；报价；报价；长度；长度；报价；报价；报价；报价；报价；摄像头；报价，"；iso"；："；0"；，"；快门速度："；0"；，"；title"；："；，"；方向"；："；0"；}"数据图像标题="奶奶.png"data image description=""数据媒体文件="https://blog.qualys.com/wp-content/uploads/2012/08/grandma-300x213.png"数据大文件="https://blog.qualys.com/wp-content/uploads/2012/08/grandma.png"alt="奶奶’；s针织应用程序"class="wp-image-5006 size full image migrated from jive alignright"src="https://2jws2s3y97dy39441y2lgm98-wpeengine.netdna-ssl.com/wp-content/uploads/2012/08/gramman.png"height="270"width="380"srcset="https://2jws2s3y97dy39441y2lgm98-wpeengine.netdna-ssl.com/wp-content/uploads/2012/08/gramman.png380瓦，https://2jws2s3y97dy39441y2lgm98-wpeengine.netdna-ssl.com/wp-content/uploads/2012/08/gramma-300x213.png300w"size="（最大宽度：380px）100vw，380px"/>如RFC 6455规范所定义，"WebSocket协议允许在受控环境中运行不受信任代码的客户端与挑选使用该代码举行通信的远程主机之间举行双向通信。"经过提供低延迟、双向通信的良好机制，它消除了经过轮询强制经过固有的非持久性HTTP协议举行持久连接的解决方案的需要。您能够将WebSockets看作是Ajax中"x"的替代品，然而有一些附加特性。乍一看，这正是奶奶构建超快速交互式针织应用程序所需要的。"旧"安全性仍然特别重要使用WebSocket的Web应用程序容易受到"旧"Web应用程序所存在的所有咨询题的阻碍。像XSS和MITM如此的东西仍然像往常一样重要。任何能够嗅探"http:"的攻击者也能够嗅探"ws:"，这意味着他们能够使用相同的想法来拦截流量或注入流量。于是WebSockets不过一种新的想法来解决你所看到的安全咨询题HTTP.混合content虽然依照rfc6455，不会将"ws:"和"https:"混合使用，这是一具特别好的改进，但并非所有扫瞄器都遵守这一规则。目前，惟独Firefox实现了那个策略。这类似于在HTTPS页面中加载HTTP资源。在某些事情下，web应用程序的不安全部分大概会伤害整个应用程序系统.dosant老朋友，拒绝服务（DoS）也能够使用WebSockets。WebSockets通常比HTTP有更高的连接限制，所以恶意网站有大概经过猎取最大数量的WebSockets连接耗尽扫瞄器，从而导致扫瞄器崩溃。众所周知，所有主流扫瞄器都将那个限制设置为900到3000，惟独Firefox将连接限制在200。客户端也能够经过从ddos/525.html">服务器请求大量连接来拒绝服务器。像SlowLoris如此的攻击试图保持持久连接，CC防御，从而耗尽服务器资源。这在WebSockets中自动发生，它经过设计.IPS/IDS/DLP和masking WebSocket协议实现数据屏蔽，旨在防止代理缓存中毒。数据屏蔽尽管实用，但也有其阴暗面：屏蔽会阻挠安全工具识别流量中的模式。由于数据丢失预防（DLP）软件和防火墙通常不懂WebSocket，它们无法对WebSocket流量举行数据分析，所以无法识别恶意软件，WebSocket中的恶意JavaScript和数据泄漏交通。恶意的用户还能够经过在合法的WebSocket数据帧中建立隐秘通道来绕过安全设备。保留标志、长度表示甚至掩码值都能够用于在客户端之间来回挪移数据，即使在标准爱护机制存在的事情下也是这样地方。为了经过WebSockets与受损扫瞄器通信是多么容易的一具例子，看到小巨人了吗沃尔多。检查/控制工具为了经过嗅探和流量控制来理解Websockets的安全支持，您需要工具。目前，这方面对WebSockets的支持很有限。Wireshark、Fiddler和Chrome开辟工具是第一批实现WebSocket数据帧只读支持的工具。ZAP正致力于全面支持，完成数据帧含糊化。然而，DDoS防御，除非这些支持更复杂的特性，否则开辟人员在创建安全的WebSocket方面没有太大关心应用程序。部署建议由于WebSockets缺少HTTP cookies和基于表单的身份验证等安全功能，DDoS防御，防DDoS，安全部署将是HTTP和WebSockets的混合，或者彻底是啥新的。我们我们正在然后研究该协议的细节，并制定出更好的想法来使用WebSockets实现一具强壮和安全的系统，并希翼就此发表更多的文章。并且，这两个简单的建议对留住你的奶奶有特别大关心安全：采纳WebSockets假如您需要更高的吞吐量、全双工通信或更低延迟。记得吗安全基础（身份验证/授权、会话治理、状态处理），正如WebSocket协议所不懂的那么这些。相关的

当前位置：主页 > 网站防护 > 服务器防ddos_公司_安全http防护