網絡瀏覽器與HTML 5技術在大步發展的同時，也給互聯網應用領域帶來了又一批安全漏洞。

隨著Adobe Flash Player等專用插件的逐步淘汰，HTML 5已經自然而然地成為Web領域富多媒體服務交付的標準性繼任者。不過說起Flash最大的弊端，也就是孱弱的安全水平，HTML 5似乎也拿不出什么有說服力的改進效果。

事實上，HTML 5當中也存在著自己的一些安全隱患。應用安全監控企業Prevoty公司CEO Julien Bellanger指出，HTML 5的普及令安全工作變得更加復雜、而非更加簡單。多年以來，HTML 5的安全性一直無法令人滿意，而且沒能從根本上實現改進，他表示。

根據Bellanger的說法，HTML 5可能帶來以下幾類安全風險：

Canvas圖像渲染漏洞有可能導致緩沖區溢出，從而使得攻擊者能夠將代碼注入至會話當中。

跨站點腳本使得入侵者能夠從瀏覽器的會話當中竊取信息。

SQL注入，攻擊者可以利用惡意查詢從瀏覽器的數據庫內提取信息。

跨站點請求偽造，攻擊者可以獲取到用戶驗證令牌并借此在Web上對該用戶進行冒名頂替。

HTML 5的廣泛使用也導致大量與計算機或者移動設備相關的信息遭到泄露，例如存儲位置與設備所在位置等，網絡安全咨詢企業Denim Group公司CTO Dan Cornell指出。“由于HTML 5應用程序能夠訪問這些信息，因此會帶來信息濫用的風險，”他表示。

瀏覽器“在本質上并不安全”

“我們面臨的最大問題在于，瀏覽器在本質上并不安全，”IT安全咨詢企業Secure Ideas公司CEO Kevin Johnson指出。舉例來說，HTML 5并不提供安全沙箱保護機制——就連Flash都能在Chrome瀏覽器上實現這一點，他解釋稱。

“另一大問題則是，我們將大量復雜性元素添加到了HTML 5當中，但卻沒有為用戶提供同等水平的控制能力，”Johnson表示。至少在Flash當中，用戶可以選擇將其關閉。但HTML卻沒辦法被關閉。

HTML 5仍然承載著一系列安全承諾

盡管前景不容樂觀，但HTML 5仍然成為提升安全水平的希望所在——如果瀏覽器開發商能夠妥善處理相關工作的話，Denim Group公司的Cornell指出。“瀏覽器開發商們需要審視自己的HTML 5支持規劃，并在初始設計工作當中將安全性考量納入進來，”他表示。“HTML 5所帶來的大部分新功能允許應用程序訪問到各類敏感信息，因此采取謹慎的態度非常必要。”Johnson則補充稱，瀏覽器開發商應當為用戶提供關閉功能，從而保證其在不希望或者不信任對應內容時擁有必要的解決手段。

同時使用多種瀏覽器也能在一定程度上提升安全水平，因為存在于某種瀏覽器內的漏洞也許無法影響到其它瀏覽器，Cornell指出。這就降低了安全漏洞被廣泛利用的風險，從這個角度看HTML 5要比Flash做得更好。

瀏覽器開發商還應致力于改進整體安全水平，Mozilla公司火狐瀏覽器安全負責人Richard Barnes表示。谷歌、微軟、Mozilla以及蘋果等企業在瀏覽器領域的競爭意味著一旦出現安全問題，其聲譽將會受到嚴重影響，因此所有主流瀏覽器開發商都需要建立起強大的安全技術團隊，他強調道。

整個瀏覽器業界也一直在不斷努力改善安全機制，Barnes表示。舉例來說，目前一套通用型加密方案正在開發當中，而各瀏覽器開發商也在著力幫助用戶培養安全意識并控制自己暴露在網絡環境中的信息，他指出。

另外，標準制定機構的參與同樣非常重要。作為HTML 5開發方，萬維網聯盟擁有自己的內容安全策略規范性建議，而該聯盟域名負責人Wendy Seltzer也表示將為Web作者提供一套管理策略語言，幫助他們限制站點上的活動內容并應對腳本注入狀況。此外，該安全內容規范還將著力確保各類強大的Web功能只在安全且經過認證的背景下起效。

不過我們最終的目標仍然是保障應用程序的安全，無論其運行在瀏覽器當中還是操作系統之上。Prevoty公司的Bellanger建議稱，開發人員應該參考微軟的安全開發生命周期指南來強化自己的應用程序成果。“開發人員仍然有責任構建起盡可能安全的應用程序產品，”他強調稱。

原文標題：Sick of Flash security holes? HTML5 has its own