WebSocket стал «предложенным стандартом»

Представители комитета IETF, сотрудники которого разрабатывают спецификации различных веб-протоколов и модулей архитектуры сети Интернет, сообщили о публикации документа RFC 6455. В документе приводится описание спецификаций технологии WebSocket. Сотрудники комитета отмечают, что в результате работы над документом было создано несколько «черновых» версий. Конечная версия спецификаций, описанных в документе RFC 6455, получила статус Proposed Standard, («Предложенного стандарта»). Перевод спецификаций в статус «Предложенного стандарта», означает, что в технологии были исправлены основные проблемы, в том числе и проблемы с информационной безопасностью. В данном случае речь идет о разработке методики блокировки атак киберпреступников, стремящихся подменить пользовательский кэш.

Следует отметить, что время разработки спецификации WebSocket до стадии «предложенного стандарта» заняло более полутора лет. Первый вариант документа RFC 6455 увидел свет в мае позапрошлого года. Всего разработчиками было создано 17 редакций документа.

На следующем этапе документ RFC 6455 будет дорабатываться и, в конечном итоге, достигнет очередной стадии — Draft Standart («черновой стандарт»). Перевод спецификаций в режим «чернового стандарта» будет означать, что разработчики учли все замечания и решили все обнаруженные в результате обсуждения стандарта проблемы. Отметим, что в стадии «чернового стандарта» в настоящее время находится подавляющее большинство используемых в сети Интернет стандартов. Только после значительного периода активного использования RFC -спецификации переходят в стадию стандарта Интернет. Любопытно, что за все время существования сети Интернет этот статус получило всего около 70 документов RFC.

Напомним, что протокола WebSocket был представлен около двух лет назад разработчиками корпорации Google. Он предназначается для создания надежного двухстороннего обмена информацией между веб-приложением на локальном пользовательском компьютере и удаленным сервером. С технологической точки зрения WebSocket представляет собой аналог протокола TCP для сети Интернет. WebSocket дает возможность инициации потока обмена информацией между локальным клиентом и удаленным сервером, как со стороны клиента, так и со стороны сервера. Примечательно, что для идентификации пользователя на сервере, а также для организации безопасного канала для передачи информации, в WebSocket используются стандартные инструменты, поддерживающиеся в любом современном браузере. В отличие от стандартного механизма обмена данными, основанного на обмене множественными HTTP-запросами, технология WebSocket создает постоянное открытое HTTP-соединение, через которое и происходит обмен данными. Постоянное соединение позволяет обойтись без обмена лишними HTTP-заголовками. Обмен данными производится с помощью отправки информации методом send() и обработкой полученных данных через специально разработанный обработчик событий.

Следует уточнить, что разработчики позаботились и о безопасности соединения, устанавливаемого по технологии WebSocket. Модель безопасности, описанная в спецификации WebSocket, основана на так называемом механизме «Web Origin». Суть механизма заключается в создании определенной доверительной области веб-сайтов и внесению ограничений в политику работы веб-обозревателя, позволяющему ему посылать запросы к четко очерченному списку доверенных сайтов. Подобная методика позволяет защититься в том числе и от атак вида CSRF.

Механизм Web Origin в своей основе содержит идею изоляции веб-контента, который загружен в браузер с различных удаленных серверов. Таким образом разработчики исключают влияние контента одного сайта на содержимое другого. Кроме того, используется специфический HTTP-заголовок «Origin», с помощью которого контент однозначно ассоциируется с тем или иным источником. Стоит отметить, что для описания механизма Web Origin используется свой документ RFC, который разрабатывается в параллели с RFC 6455, описывающем протокол WebSocket.

В настоящее время протокол WebSocket, по мнению разработчиков, является практически единственным эффективным методом организации постоянного канала обмена информацией между локальным компьютером и удаленным сервером. Другие разработки слишком сложны для реализации и не слишком эффективны. Все они основаны на регулярной отправки запросов на сервер через метод так называемого XMLHttpRequests, на использовании iFrame или на модификации HTTP-соединения для его постоянного удержания в работающем состоянии.

В отличие от альтернативных методов, WebSocket открывает только одно соединение с удаленным сервером, что исключает чрезмерную нагрузку на сервер. Стоит отметить, что для использования WebSocket, этот протокол должен обязательно поддерживаться с обоих сторон, и у клиента и на сервере.

Известно, что уже сейчас поддержка работы с протоколом WebSocket имеется в большинстве современных популярных браузеров. Речь идет о Mozilla Firefox, Apple Safari, Google Chrome и Opera. Корпорация Microsoft сообщила, что в браузере Internet Explorer поддержка WebSocket появится в десятой версии. Пользователи более ранних версий веб-обозревателя для включения поддержки WebSocket могут использовать специально созданное расширение или же реализацию на языке JavaScript, использующую функционал плагина Adobe Flash.