Komentar: Anda juga harus memperhatikan masalah keamanan di HTML5
Pakar keamanan aplikasi mengatakan HTML5 menghadirkan tantangan keamanan baru bagi pengembang.Perang kata -kata antara Apple dan Adobe membawa banyak spekulasi tentang nasib HTML 5. Meskipun implementasi HTML 5 masih memiliki jalan panjang, satu hal yang pasti bahwa pengembang yang menggunakan HTML 5 perlu menyebarkan fitur keamanan baru untuk siklus pengembangan keamanan aplikasi untuk mengatasi tantangan keamanan yang dibawa oleh HTML 5.
Jadi apa dampak HTML5 pada permukaan serangan yang perlu kita tutupi? Artikel ini akan membahas beberapa masalah keamanan penting tentang HTML 5.
Penyimpanan klien
Versi sebelumnya dari HTML hanya memungkinkan situs web untuk menyimpan cookie sebagai informasi lokal, yang relatif kecil dan hanya cocok untuk menyimpan informasi arsip sederhana atau sebagai pengidentifikasi untuk data yang disimpan di tempat lain (seperti ID sesi), kata Dan Cornell, direktur divisi penelitian keamanan aplikasi kelompok denim. Namun, HTML5 LocalStorage memungkinkan browser untuk menyimpan sejumlah besar database secara lokal, memungkinkan jenis aplikasi baru digunakan.
Risiko bahwa data sensitif dapat disimpan di workstation pengguna lokal, dan penyerang yang secara fisik mengakses atau mengkompromikan stasiun kerja dapat dengan mudah mendapatkan data sensitif, yang menurut Cornell bahkan lebih berbahaya bagi pengguna yang menggunakan komputer bersama.
Menurut definisi, itu benar -benar dapat menyimpan informasi tentang sistem klien, kata Josh Abraham, seorang peneliti keamanan di Rapid7. Maka Anda memiliki kemampuan potensial untuk menggunakan serangan injeksi SQL berbasis klien, atau mungkin salah satu basis data klien Anda berbahaya, dan ketika disinkronkan dengan sistem produksi, mungkin ada masalah sinkronisasi, atau potensi data berbahaya dari klien akan dimasukkan ke dalam sistem produksi.
Untuk mengatasi masalah ini, pengembang harus dapat memverifikasi apakah data berbahaya, yang sebenarnya merupakan masalah yang sangat rumit.
Tidak semua orang setuju dengan pentingnya masalah ini. Chief Technology Officer Veracode Chris Wysopal mengatakan bahwa misalnya, selalu ada banyak cara untuk menyimpan klien data dengan menggunakan plug-in atau ekstensi browser.
Ada banyak metode yang diketahui untuk memanipulasi properti HTML5 SessionStorage yang saat ini digunakan, tetapi masalah ini hanya akan diselesaikan ketika standar diselesaikan, kata Wysopal.
Komunikasi silang domain
Versi lain dari HTML dapat secara langsung mengizinkan JavaScript untuk mengeluarkan permintaan XML HTTP untuk menelepon kembali ke server asli, sementara HTML5 melonggarkan batas ini, dan permintaan HTTP XML dapat dikirim ke server mana pun yang memungkinkan permintaan tersebut. Tentu saja, jika server tidak dipercaya, ini juga dapat membawa masalah keamanan yang serius.
Misalnya, saya dapat membangun mashup (kombinasi, gabungkan lebih dari dua aplikasi web menggunakan database publik atau pribadi untuk membentuk aplikasi terintegrasi) untuk menarik skor pertandingan situs web pihak ketiga melalui JSON (notasi objek JavaScript). Cornell mengatakan bahwa situs web ini dapat mengirim data berbahaya ke aplikasi yang berjalan di browser pengguna saya. Meskipun HTML5 memungkinkan pembentukan jenis aplikasi baru, jika pengembang tidak memahami signifikansi keamanan dari aplikasi yang telah mereka bangun ketika mereka mulai menggunakan fungsi -fungsi ini, itu akan membawa risiko keamanan yang besar bagi pengguna.
Untuk pengembang yang mengandalkan postmessage () untuk menulis aplikasi, mereka harus memeriksa dengan cermat untuk memastikan bahwa informasi tersebut berasal dari situs web mereka sendiri, jika tidak kode berbahaya dari situs web lain dapat membuat informasi berbahaya, tambah Wysopal. Fitur ini sendiri tidak aman, dan pengembang telah mulai menggunakan fitur DOM (Model Objek Dokumen)/browser yang berbeda untuk meniru komunikasi lintas domain.
Masalah terkait lainnya adalah bahwa World Wide Web Alliance saat ini menyediakan cara untuk menggunakan yang mirip dengan mekanisme lintas-original untuk memotong kebijakan homolog untuk desain berbagi sumber daya lintas-orisinal.
IE Penyebaran memiliki fitur keamanan yang berbeda dari Firefox, Chrome, dan Safari, dan dia mencatat bahwa pengembang perlu memastikan mereka membuat daftar kontrol akses yang terlalu longgar dengan bahaya terlalu longgar, terutama karena beberapa kode referensi saat ini sangat tidak aman.
Keamanan iframe
Dari sudut pandang keamanan, HTML5 juga memiliki fitur yang bagus, seperti properti Sandbox yang berencana untuk mendukung iframes.
Properti ini akan memungkinkan pengembang untuk memilih bagaimana data ditafsirkan, Wysopal mengatakan, sayangnya, seperti kebanyakan HTML, desain cenderung disalahpahami oleh pengembang dan kemungkinan akan dinonaktifkan oleh pengembang karena tidak nyaman untuk digunakan. Jika ditangani dengan benar, fitur ini akan membantu bertahan melawan iklan pihak ketiga jahat atau mencegah konten yang tidak dipercaya diputar kembali.