做為Adobe Flash的替代品,HTML 5因為能更加有效地展現音頻、圖像和視頻而得到贊譽。但是研究該技術的安全專家表示,它會給企業的安全專業人員們帶來新的挑戰。
英國安全廠商Sophos的高級技術人員James Lyne談到,潛在的HTML 5安全問題可能源于該技術的迅速采用。如果HTML 5的功能沒有正確地編程實現,其安全漏洞可能讓攻擊者們獲得對敏感web站點數據的訪問。該技術功能豐富,賦予開發者們本地存儲、內置圖形渲染的能力,且當瀏覽器沒有連接到因特網時能在移動設備上利用地理位置數據或是顯示消息。
“HTML 5中的一切都是內嵌的,不要求一套插件”,Lyne說道。“如果我們能用良好的安全模型、良好的權限模型和充分的測試將它標準化,那么對于用戶跨設備保持體驗的一致性和安全來說都是非常有益的”。
HTML 5的標準尚處于草案階段,但是它已經被大多數的瀏覽器開發商們所采用。與之前它所在的地位相比,Adobe System公司來了個180度大轉變,十一月該公司宣布不再支持智能手機和平板設備上的Flash,轉而支持HTML 5。包含瀏覽器開發商的萬維網聯盟(World Wide Web Consortium,WC3)一直在開發標準提高HTML自身的能力。
專家們認為WC3必須繼續解決HTML 5中的安全和隱私問題。該標準沒有解決一個經常被批評的情況,即cookie追蹤,該問題被市場人員用來追蹤個人的瀏覽習慣。HTML 5引入了許多新的方法來追蹤和存儲關于web用戶的信息。Lyne表示,用來清除敏感信息以及讓用戶管理隱私數據的例行程序還沒有明確的定義。
此外,一種經常用于攻擊Flash應用的技術——點擊劫持(clickjacking),能在用戶與web站點或是web應用交互時誘騙他們執行惡意代碼或點擊惡意鏈接。瀏覽器開發商們已經有到位的保護措施來預防大多數的clickjacking攻擊。
據位于東京的趨勢科技公司高級威脅研究員Robert McArdle,那些以Java腳本的形式融合clickjacking防御的站點會發現這對于HTML 5來說是無用的,HTML 5增加了一項沙盤(sandbox)特色功能。
McArdle在趨勢科技的TrendLab博客上寫道,“在許多情況下,這實際上導致需要更多的安全設置,但是它的不利是,讓當前clickjacking攻擊防御形同虛設”。
根據Sophos公司本月發布的一項報告“HTML 5:閃耀奪目的新web技術,還是愚蠢的新安全問題?”,企業可能需要采取額外的措施來防范利用HTML 5弱點的攻擊。Web內容過濾、防病毒和其它終端安全技術會有助于抵御這些攻擊,Lyne補充道。
“我希望我們能跨瀏覽器達成一致的安全模型”,Lyne說道。“如果對它放任不管,我預計在早期采用HTML 5的日子里我們將經歷一段痛苦的時光”。
此外,開放Web應用安全項目(OWASP)的成員們正在為應用開發人員們開發HTML 5的最佳實踐文檔和web站點。位于馬薩諸塞州波士頓的應用安全測試廠商Veracode有限公司的副總裁Chris Eng在一篇名為“HTML 5安全概述”的博客中談到,那些不理解HTML 5某些功能的開發人員們可能將其禁用,進而產生一些安全問題。
“開發人員們能做的最重要的事情是記住基本的安全原則,例如所有用戶的輸入都應該被看作是不可信的這種思想”,Eng寫到。“開發人員們應該學習HTML 5的新功能是如何工作的,以便理解在哪里他們容易做出錯誤的假設”。
京公網安備 11010502049343號