Java Reference
In-Depth Information
14.2.2■Die WebSocket-Speziikation
Beim W3C gibt es eine oizielle WebSocket-Speziikation (
http://dev.w3.org/html5/websockets/
).
Diese legt sowohl Protokolle als auch ein API fest, über das Socket-Verbindungen zwischen
einem Webbrowser und einem Server hergestellt werden können. Und dann besteht wie bei
allen Sockets nach der Etablierung einer Verbindung eine persistente Leitung zwischen
Client und Server. Damit können dann in der Folge beide Parteien jederzeit mit dem Senden
von Daten beginnen.
HInWEIS:
WebSockets werden von älteren Browsern nicht unterstützt und
auch in neuen Browsern gibt es unterschiedliche Arten der Implementierung
und Unterstützung. Insbesondere die unterstützten Protokolle diferieren. Unter
https://developer.mozilla.org/en-US/docs/WebSockets
indet man mehr zu
den Protokollen und der Browser-Unterstützung. Das wichtigste und aktuellste
Protokoll
rFC 6455
(
http://tools.ietf.org/html/rfc6455
) wird aber von den
aktuellen Browsern Internet Explorer ab der Version 10, Chrome 16, Firefox 11,
Opera 12.1 und Safari 6 unterstützt. Man kann zwar auch ältere Protokollversio-
nen nutzen, aber dort gibt es diverse bekannte Schwachstellen.
14.2.3■Same-Origin-Policy und das Sprengen der Grenzen
Bei der Verwendung von clientseitigen Skriptsprachen wie JavaScript, aber auch anderen
Techniken wie Cascading Style Sheets, gibt es ein Sicherheitskonzept mit Namen
Same-
Origin-Policy
(
SOP
), das dem Browser untersagt, auf Objekte (zum Beispiel Graiken) zuzu-
greifen, die von einer anderen Webseite stammen oder deren Speicherort nicht der origina-
len Quelle (Origin) entspricht. Das SOP-Konzept stellt ein wesentliches Sicherheitselement
in allen modernen Browsern und Webanwendungen zum Schutz vor Angrifen dar und
wurde bereits 1996 von Netscape im Netscape Navigator 2.0 eingeführt. Es gewährleistet,
dass keine Informationen aus einem Kontext (zum Beispiel der Verbindung des Browsers zu
der Seite einer Bank) von einem Skript aus einem anderen Kontext zugreifbar oder manipu-
lierbar sind. Um dies zu erreichen, wird beim Zugrif eines Skripts auf ein Objekt einer
Webseite die Herkunt (origin) von beiden verglichen.
Die Begrenzungen der Same-Origin-Policy sind allerdings in vielen modernen Webseiten
(insbesondere bei AJAX-RIAs) unerwünscht und werden mittlerweile durch verschiedene
Techniken wie Cross-Origin Resource Sharing ausgehebelt, wenn das ein Webbrowser
unterstützt. Die SOP-Begrenzung betrit aber theoretisch auch die WebSocket-Verbindung,
wenn eine Kommunikation über die Begrenzung auf den Ursprungsort des Clients möglich
sein soll. Allerdings hat man sich bei der Speziikation der WebSocket-Technik dafür ent-
schieden, dass die Kommunikation zwischen Parteien in jeder Domain möglich ist. Damit
muss man bei einer Kommunikation sich selbst darum kümmern, dass nur vertrauenswür-
dige Clients und Server kommunizieren. Grundsätzlich kann ein Server entscheiden, ob
sein Service für alle Clients verfügbar wird oder nur für diejenigen, die auf einer Gruppe
gut deinierter Domains residieren.
Search WWH ::
Custom Search