コメント:HTML5のセキュリティ問題にも注意を払う必要があります
アプリケーションセキュリティの専門家は、HTML5が開発者に新しいセキュリティの課題を提示すると言います。AppleとAdobeの間の言葉の戦争は、HTML 5の運命について多くの憶測をもたらします。HTML5の実装にはまだ長い道のりがありますが、HTML 5を使用する開発者は、HTML 5によってもたらされるセキュリティ課題に対処するために、アプリケーションセキュリティ開発ライフサイクルの新しいセキュリティ機能を展開する必要があることを確信しています。
では、HTML5は、カバーする必要がある攻撃面にどのような影響を与えますか?この記事では、HTML 5に関するいくつかの重要なセキュリティ問題について説明します。
クライアントストレージ
HTMLの以前のバージョンでは、WebサイトがCookieをローカル情報として保存することのみを許可しました。これは比較的小さく、簡単なアーカイブ情報の保存に適しているか、他の場所に保存されているデータ(セッションIDなど)の識別子としてのみ適しています。ただし、HTML5 LocalStorageを使用すると、ブラウザがローカルに多数のデータベースを保存できるため、新しいタイプのアプリケーションを使用できます。
機密データがローカルユーザーのワークステーションに保存される可能性があり、ワークステーションに物理的にアクセスまたは妥協する攻撃者は、共有コンピューターを使用するユーザーにとってさらに危険であるとコーネルは言いました。
定義上、クライアントシステムに関する情報を実際に保存できると、Rapid7のセキュリティ研究者であるJosh Abraham氏は述べています。次に、クライアントベースのSQLインジェクション攻撃を使用する潜在的な能力があります。または、クライアントのデータベースの1つが悪意があり、実稼働システムと同期すると、同期の問題がある場合があります。
この問題を解決するために、開発者はデータが悪意があるかどうかを確認できる必要があります。これは実際には非常に複雑な問題です。
誰もがこの問題の重要性に同意するわけではありません。 Veracodeの最高技術責任者であるChris Wysopal氏は、たとえば、プラグインまたはブラウザ拡張機能を使用してデータクライアントを保存する方法は常にあると述べました。
Wysopal氏によると、HTML5 SessionStorageプロパティを現在展開しているHTML5 SessionStorageプロパティを操作する方法は、現在展開されているが、標準が確定した場合にのみ解決されることが多いと述べた。
クロスドメイン通信
HTMLの他のバージョンでは、JavaScriptがXML HTTPリクエストを発行して元のサーバーに直接発行する場合がありますが、HTML5はこの制限をリラックスさせ、XML HTTPリクエストはそのような要求を許可するサーバーに送信できます。もちろん、サーバーが信頼されていない場合、これは深刻なセキュリティの問題をもたらす可能性もあります。
たとえば、マッシュアップ(組み合わせ、パブリックまたはプライベートデータベースを使用して2つ以上のWebアプリケーションをマージして統合アプリケーションを形成する)を構築して、JSON(JavaScriptオブジェクト表記)を介してサードパーティのWebサイトのマッチスコアをプルすることができます。 Cornell氏によると、このWebサイトはユーザーのブラウザで実行されているアプリケーションに悪意のあるデータを送信する可能性があると述べました。 HTML5は新しいタイプのアプリケーションの確立を可能にしますが、開発者がこれらの機能の使用を開始したときに構築したアプリケーションのセキュリティの重要性を理解していない場合、ユーザーに大きなセキュリティリスクをもたらします。
Postmessage()に依存してアプリケーションを作成する開発者の場合、情報が自分のWebサイトからのものであることを確認する必要があります。そうしないと、他のWebサイトからの悪意のあるコードが悪意のある情報を作成できることを確認する必要があります。この機能自体は安全ではなく、開発者は異なるDOM(Document Object Model)/Browser機能を使用して、クロスドメイン通信をエミュレートし始めています。
もう1つの関連する問題は、ワールドワイドウェブアライアンスが現在、オリジナルのメカニズムに似たものを使用して、オリジナルのリソース共有デザインの相同ポリシーをバイパスする方法を提供していることです。
IEの展開には、Firefox、Chrome、およびSafariとは異なるセキュリティ機能があり、開発者は、特に一部の参照コードが現在非常に不安定であるため、あまりにも緩すぎて、あまりにもゆるいアクセス制御リストを作成する必要があることを指摘しています。
iframeセキュリティ
セキュリティの観点から見ると、HTML5には、IFRAMEをサポートする計画を立てるサンドボックスプロパティなど、優れた機能もあります。
このプロパティにより、開発者はデータの解釈方法を選択できるようになる、と残念ながら、ほとんどのHTMLと同様に、設計は開発者によって誤解される可能性が高く、使用が不便であるため開発者によって無効になる可能性が高いとWysopal氏は述べています。適切に処理された場合、この機能は悪意のあるサードパーティの広告から防御するか、信頼できないコンテンツが再生されないようにするのに役立ちます。