의견 : HTML5의 보안 문제에도주의를 기울여야합니다.
응용 프로그램 보안 전문가들은 HTML5가 개발자에게 새로운 보안 문제를 제시한다고 말합니다.Apple과 Adobe 사이의 단어 전쟁은 HTML 5의 운명에 대한 많은 추측을 가져옵니다. HTML 5 구현은 여전히 갈 길이 멀지 만, HTML 5를 사용하는 개발자는 HTML 5가 가져온 보안 문제에 대처하기 위해 응용 프로그램 보안 개발 수명주기에 새로운 보안 기능을 배포해야한다는 것이 확실합니다.
그렇다면 HTML5는 우리가 덮는 데 필요한 공격 표면에 어떤 영향을 미칩니 까? 이 기사는 HTML 5에 대한 몇 가지 중요한 보안 문제에 대해 논의 할 것입니다.
클라이언트 스토리지
Denim Group Application Security Research Division의 디렉터 인 Dan Cornell은 이전 버전의 HTML 버전에서는 웹 사이트가 쿠키를 지역 정보로 저장하거나 다른 곳에 저장된 데이터 (예 : 세션 ID)에 대한 식별자로만 적합한 로컬 정보로 저장할 수있게 해주었다. 그러나 HTML5 LocalStorage를 사용하면 브라우저가 많은 수의 데이터베이스를 로컬로 저장할 수 있으므로 새로운 유형의 응용 프로그램을 사용할 수 있습니다.
민감한 데이터가 로컬 사용자의 워크 스테이션에 저장 될 수있는 위험과 워크 스테이션에 물리적으로 액세스하거나 손상시키는 공격자는 쉽게 민감한 데이터를 얻을 수 있다고 Cornell은 공유 컴퓨터를 사용하는 사용자에게 훨씬 더 위험하다고 말했다.
Rapid7의 보안 연구원 인 조쉬 아브라함 (Josh Abraham)은 정의에 따라 고객 시스템에 정보를 저장할 수 있다고 말했다. 그런 다음 클라이언트 기반 SQL 주입 공격을 사용할 수있는 능력이 있거나 클라이언트 데이터베이스 중 하나가 악의적 일 수 있으며 생산 시스템과 동기화되면 동기화 문제가 있거나 클라이언트의 잠재적 악성 데이터가 생산 시스템에 삽입 될 수 있습니다.
이 문제를 해결하려면 개발자는 데이터가 악의적인지 확인할 수 있어야합니다. 이는 실제로 매우 복잡한 문제입니다.
모든 사람 이이 문제의 중요성에 동의하는 것은 아닙니다. Veracode 최고 기술 책임자 인 Chris Wysopal은 예를 들어 플러그인이나 브라우저 확장을 사용하여 데이터 클라이언트를 저장하는 방법이 항상 많았다 고 말했다.
Wysopal은 현재 배포 된 HTML5 SessionStorage 속성을 조작하는 많은 알려진 방법이 있지만이 문제는 표준이 완성 될 때만 해결 될 것이라고 Wysopal은 말했다.
상호 도메인 커뮤니케이션
다른 버전의 HTML은 JavaScript가 직접 XML HTTP 요청을 원래 서버로 다시 호출하도록 허용하는 반면 HTML5는이 제한을 완화하고 XML HTTP 요청은 그러한 요청을 허용하는 모든 서버로 전송 될 수 있습니다. 물론 서버가 신뢰할 수없는 경우 심각한 보안 문제를 가져올 수도 있습니다.
예를 들어, 매시업 (조합, 공개 또는 개인 데이터베이스를 사용하여 2 개 이상의 웹 응용 프로그램을 병합하여 통합 응용 프로그램을 형성)을 구축하여 JSON (JavaScript 객체 표기법)을 통해 타사 웹 사이트의 일치 점수를 끌어 올릴 수 있습니다. Cornell 은이 웹 사이트가 사용자의 브라우저에서 실행되는 응용 프로그램에 악의적 인 데이터를 보낼 수 있다고 말했다. HTML5는 새로운 유형의 애플리케이션을 설정할 수 있지만 개발자가 이러한 기능을 사용하기 시작할 때 구축 한 응용 프로그램의 보안 중요성을 이해하지 못하면 사용자에게 큰 보안 위험을 가져올 것입니다.
PostMessage ()에 의존하는 신청서를 작성하려는 개발자의 경우 정보가 자체 웹 사이트에서 나온지 확인하기 위해 신중하게 확인해야합니다. 그렇지 않으면 다른 웹 사이트의 악성 코드가 악의적 인 정보를 생성 할 수 있다고 Wysopal은 덧붙였습니다. 이 기능 자체는 안전하지 않으며 개발자는 다른 DOM (Document Object Model)/브라우저 기능을 사용하여 크로스 도메인 커뮤니케이션을 모방하기 시작했습니다.
또 다른 관련 문제는 월드 와이드 웹 얼라이언스 (World Wide Web Alliance)가 현재 원천 자원 공유 설계를위한 상 동성 정책을 우회하기 위해 원천 간 메커니즘과 유사하게 사용하는 방법을 제공한다는 것입니다.
IE 배포는 Firefox, Chrome 및 Safari와는 다른 보안 기능을 가지고 있으며 개발자는 특히 일부 참조 코드가 현재 매우 불안하기 때문에 너무 느슨한 위험으로 너무 느슨한 액세스 제어 목록을 만들어야한다고 지적합니다.
Iframe 보안
보안 관점에서 HTML5에는 IFRAME를 지원할 샌드 박스 속성과 같은 훌륭한 기능이 있습니다.
Wysopal 은이 부동산을 사용하면 개발자가 데이터 해석 방법을 선택할 수있게해도 불행히도 대부분의 HTML과 마찬가지로 개발자가 디자인을 오해 할 가능성이 높으며 사용하기에 불편하기 때문에 개발자가 비활성화 할 가능성이 높다고 말했다. 올바르게 처리되면이 기능은 악의적 인 타사 광고를 방어하거나 신뢰할 수없는 콘텐츠가 재생되는 것을 방지하는 데 도움이됩니다.