Kommentar: Sie sollten auch auf Sicherheitsprobleme in HTML5 achten
Laut Angaben von Antragssicherheitsexperten stellt HTML5 den Entwicklern neue Sicherheitsherausforderungen vor.Der Wörterkrieg zwischen Apple und Adobe bringt viele Spekulationen über das Schicksal von HTML 5. Obwohl die HTML 5 -Implementierung noch einen langen Weg vor sich hat, ist eine Sache, dass Entwickler, die HTML 5 verwenden, neue Sicherheitsfunktionen für den Lebenszyklus der Anwendungssicherheitsentwicklung bereitstellen müssen, um die mit HTML 5 gebrachten Sicherheitsherausforderungen zu bewältigen.
Welche Auswirkungen haben HTML5 auf die Angriffsfläche, die wir abdecken müssen? In diesem Artikel werden mehrere wichtige Sicherheitsprobleme zu HTML 5 erörtert.
Clientspeicher
Frühere Versionen von HTML ermöglichten Websites nur, Cookies als lokale Informationen zu speichern, die relativ klein und nur für die Speicherung einfacher Archivinformationen oder als Kennleister für Daten geeignet sind, die an anderer Stelle gespeichert sind (wie Session -ID), sagte Dan Cornell, Direktor der Denim Group Application Security Research Division. Mit HTML5 LocalStorage kann der Browser jedoch eine große Anzahl von Datenbanken lokal speichern, sodass neue Arten von Anwendungen verwendet werden können.
Das Risiko, dass sensible Daten auf der Workstation des lokalen Benutzers gespeichert werden können, und Angreifer, die physisch auf die Workstation zugreifen oder dies kompromittieren, können leicht sensible Daten erhalten, die laut Cornell für Benutzer, die gemeinsam genutzte Computer verwenden, noch gefährlicher ist.
Per Definition kann es wirklich nur Informationen über das Kundensystem speichern, sagte Josh Abraham, ein Sicherheitsforscher bei Rapid7. Anschließend können Sie einen clientbasierten SQL-Injektionsangriff verwenden, oder möglicherweise eine der Datenbank Ihres Kunden ist böswillig, und wenn Sie mit dem Produktionssystem synchronisiert sind, kann es zu Synchronisierungsproblemen kommen oder die potenziellen böswilligen Daten des Kunden in das Produktionssystem eingefügt werden.
Um dieses Problem zu lösen, müssen Entwickler in der Lage sein, zu überprüfen, ob die Daten böswillig sind, was eigentlich ein sehr kompliziertes Problem ist.
Nicht alle stimmen mit der Bedeutung dieses Problems überein. Chris Wysopal, Chief Technology Officer von Veracode, sagte, dass es beispielsweise immer viele Möglichkeiten gegeben habe, Daten Clients durch Verwendung von Plug-Ins oder Browser-Erweiterungen zu speichern.
Es gibt viele Methoden, um die derzeit bereitgestellten HTML5 -SessionStorage -Eigenschaften zu manipulieren. Dieses Problem wird jedoch nur dann gelöst, wenn der Standard fertiggestellt wird, sagte Wysopal.
Cross-Domänen-Kommunikation
Andere Versionen von HTML können JavaScript direkt ermöglichen, XML -HTTP -Anforderungen an den ursprünglichen Server zurückzuholen, während HTML5 dieses Grenzwert entspannt, und XML -HTTP -Anforderungen können an einen Server gesendet werden, der solche Anfragen zulässt. Wenn der Server nicht vertrauenswürdig ist, kann dies natürlich auch ernsthafte Sicherheitsprobleme bringen.
Zum Beispiel kann ich eine Mashup erstellen (Kombination, fusionieren Sie mehr als zwei Webanwendungen mithilfe öffentlicher oder privater Datenbanken, um eine integrierte Anwendung zu bilden), um die Übereinstimmungswerte von Websites von Drittanbietern über JSON (JavaScript-Objektnotation) zu ziehen. Cornell sagte, dass diese Website böswillige Daten an die im Browser meines Benutzers ausgeführte Anwendung senden kann. Obwohl HTML5 die Einrichtung neuer Arten von Anwendungen ermöglicht, wird die Sicherheitsrisiken für Benutzer hervorragende Sicherheitsrisiken eingebracht, wenn Entwickler die Sicherheitsbedeutung der Anwendungen, die sie bei der Verwendung dieser Funktionen aufgebaut haben, nicht verstehen.
Für Entwickler, die sich auf Postmessage () verlassen, um Anwendungen zu schreiben, müssen sie sorgfältig überprüfen, um sicherzustellen, dass die Informationen von ihrer eigenen Website stammen, ansonsten könnten böswillige Code von anderen Websites böswillige Informationen erstellen, fügte Wysopal hinzu. Diese Funktion selbst ist nicht sicher, und Entwickler haben begonnen, unterschiedliche DOM-Funktionen (Dokumentobjektmodell)/Browser-Funktionen zu verwenden, um die Cross-Domain-Kommunikation zu emulieren.
Ein weiteres verwandtes Thema ist, dass die World Wide Web Alliance derzeit eine Möglichkeit bietet, mit Kreuzungsmechanismen ähnlich zu verwenden, um homologe Richtlinien für das Design des Cross-Original-Ressourcenaustauschs zu umgehen.
IE -Bereitstellungen haben unterschiedliche Sicherheitsfunktionen als Firefox, Chrome und Safari.
Iframe Sicherheit
Aus Sicherheitsgründen verfügt HTML5 auch nette Funktionen, wie z. B. die Sandbox -Eigenschaften, die zur Unterstützung von IFrames planen.
Diese Eigenschaft ermöglicht es den Entwicklern, zu wählen, wie die Daten interpretiert werden, so, dass das Design leider wie die meisten HTML von Entwicklern missverstanden wird und von Entwicklern wahrscheinlich behindert wird, weil sie unpraktisch zu verwenden ist. Wenn diese Funktion ordnungsgemäß behandelt wird, wird diese Funktion dazu beitragen, sich gegen böswillige Anzeigen von Drittanbietern zu verteidigen oder nicht vertrauenswürdige Inhalte zu verhindern.