HTML5被吹捧為AdobeFlash的替代品,它能夠更有效地顯示音頻、圖形和視頻,但是研究這項技術的安全專家稱HTML5將給企業安全帶來新的挑戰。
英國安全供應商Sophos公司高級技術專家JamesLyne表示,潛在的HTML5安全問題可能會影響該技術的迅速普及。如果HTML5功能沒有進行正確編程,安全漏洞可能使攻擊者獲取對敏感數據的訪問權限。HTML5技術功能豐富,為開發人員提供了本地存儲、內置圖形渲染和挖掘移動設備的地理定位數據或者在瀏覽器沒有連接到互聯網時顯示消息的功能。
“HTML5的所有東西都是本地和內置的,而不需要各種插件,”Lyne表示,“如果我們使用良好的安全模式、良好的權限模式和良好的測試來標準化HTML5技術,那么無論從用戶體驗還是安全性來看,HTML5絕對是最佳選擇。”
HTML5標準仍然在起草中,不過已經被大部分瀏覽器制造商采用。Adobe系統公司在11月份宣布,它將不再支持智能手機和平板電腦上的Flash功能,而是支持HTML5。萬維網聯盟(WorldWideWebConsortium,W3C)也一直在致力于制定標準來改善HTML的功能。
專家稱萬維網聯盟仍然需要努力解決HTML5的安全和隱私問題。標準并沒有解決cookie追蹤問題,這是經常被批評的問題,該功能主要用于營銷人員追蹤個人的瀏覽習慣。HTML5引入了很多追蹤和存儲web用戶信息的新方式。Lyne表示,清理敏感信息和讓用戶管理隱私數據并沒有得到規范。
此外,針對Flash應用程序使用的常見攻擊技術—Clickjacking可以引誘用戶在訪問網站或者使用web應用程序時執行惡意代碼或者點擊惡意鏈接。瀏覽器制造商已經部署了很多保護措施來預防大多數clickjacking攻擊。
趨勢科技公司高級威脅研究人員RobertMcArdle指出,JavaScript形式的clickjacking防御對于HTML5并沒有用,HTML5還增加了一個沙箱功能。
“在很多情況下,這的確更加安全,但是無法利用目前對付clickjacking最強的抵御方法,”McArdle在趨勢科技的TrendLabs博客中寫道。
企業還需要才去額外的步驟來防止利用HTML5漏洞的攻擊,web內容過濾、防病毒和其他端點安全技術將幫助抵御攻擊,Lyne表示。
“我希望我們能夠在各大瀏覽器間達成一致的安全模式,”Lyne表示,“如果我們讓它順其自然的發展,我相信在HTML5普及的初期將會有一段痛苦時期。”
此外,開放式Web應用程序安全項目OWASP的成員正在開發開放式Web應用程序安全項目OWASP的成員們正在為應用程序開發人員開發一份HTML5最佳做法文檔以及網站。安全測試供應商Veracode公司研究副總裁ChrisEng表示,開發人員可能會關閉那些他們不理解的HTML5功能,而這可能帶來安全問題。
“開發人員可以做的最重要的事情就是記住基本的安全原則,例如,所有用戶輸入都應視為不可信任的,”Eng表示,“他們應該學習新的HTML5功能的實際作用。”
京公網安備 11010502049343號