Комментарий: вы также должны обратить внимание на вопросы безопасности в HTML5
Эксперты по безопасности приложений говорят, что HTML5 представляет новые проблемы безопасности для разработчиков.Война слов между Apple и Adobe приносит много спекуляций о судьбе HTML 5. Хотя реализация HTML 5 еще предстоит пройти долгий путь, одно можно сказать, что разработчикам, использующим HTML 5, необходимо будет развернуть новые функции безопасности для жизненного цикла по обеспечению безопасности приложений, чтобы справиться с проблемами безопасности, вызванными HTML 5.
Итак, какое влияние HTML5 окажет на поверхность атаки, которую нам нужно покрыть? В этой статье будут обсуждаться несколько важных вопросов безопасности о HTML 5.
Клиентское хранилище
Более ранние версии HTML разрешили только веб -сайтам хранить файлы cookie в качестве локальной информации, которая относительно мала и подходит только для хранения простой архивной информации или в качестве идентификаторов для данных, хранящихся в других местах (например, идентификатор сессии), сказал Дэн Корнелл, директор Отдела по обеспечению безопасности приложений Group Group. Тем не менее, HTML5 LocalStorage позволяет браузеру хранить большое количество баз данных локально, позволяя использовать новые типы приложений.
Риск того, что конфиденциальные данные могут храниться на рабочей станции локального пользователя, и злоумышленники, которые физически получают доступ или ставят под угрозу рабочую станцию, может легко получить конфиденциальные данные, что, по словам Корнелла, еще более опасен для пользователей, которые используют общие компьютеры.
По определению, он действительно может хранить информацию о клиентской системе, сказал Джош Абрахам, исследователь безопасности в Rapid7. Затем у вас есть потенциальная способность использовать клиентскую атаку SQL-инъекции, или, может быть, одна из базы данных вашего клиента является злонамеренной, и при синхронизации с производственной системой могут возникнуть проблемы с синхронизацией, или потенциальные вредоносные данные клиента будут вставлены в систему производства.
Чтобы решить эту проблему, разработчики должны иметь возможность проверить, являются ли данные злонамеренными, что на самом деле является очень сложной проблемой.
Не все согласны с важности этого вопроса. Главный директор по технологиям VeraCode Крис Висопал сказал, что, например, всегда было много способов хранения клиентов данных, используя плагины или расширения браузера.
По словам Висопала, существует много известных методов манипулирования свойствами HTML5 SessionStorage, но эта проблема будет решена только в случае завершения стандарта.
Междоменная связь
Другие версии HTML могут непосредственно позволить JavaScript выпускать XML HTTP -запросы, чтобы вызовать исходный сервер, в то время как HTML5 ослабляет этот предел, а HTTP -запросы XML могут быть отправлены на любой сервер, который разрешает такие запросы. Конечно, если сервер недовершен, это также может вызвать серьезные проблемы безопасности.
Например, я могу создать Mashup (комбинация, объединить более двух веб-приложений, используя публичные или частные базы данных, чтобы сформировать интегрированное приложение), чтобы получить оценки совпадений сторонних веб-сайтов через JSON (нотация объекта JavaScript). Корнелл сказал, что этот веб -сайт может отправлять вредоносные данные в приложение, работающее в браузере моего пользователя. Хотя HTML5 позволяет создавать новые типы приложений, если разработчики не понимают значимость безопасности приложений, которые они создали, когда они начнут использовать эти функции, это принесет большие риски безопасности для пользователей.
Для разработчиков, которые полагаются на Postmessage () для написания приложений, они должны тщательно проверить, чтобы убедиться, что информация находится с их собственного веб -сайта, в противном случае вредоносный код с других веб -сайтов может создать вредоносную информацию, добавил Wysopal. Эта функция не является безопасной, и разработчики начали использовать различные функции DOM (объект документа)/браузера для эмуляции междоменной связи.
Другая связанная проблема заключается в том, что Всемирный паутинный альянс в настоящее время предоставляет способ использования, аналогичного межоригинальным механизмам, чтобы обойти гомологичную политику для конструкции обмена ресурсами межоригинальных ресурсов.
IE развертывания имеют разные функции безопасности, чем Firefox, Chrome и Safari, и он отмечает, что разработчики должны убедиться, что они создают слишком свободные списки контроля доступа с опасностью быть слишком свободным, особенно потому, что какой -то ссылочный код в настоящее время очень неуверенный.
Iframe Security
С точки зрения безопасности, HTML5 также обладает хорошими функциями, такими как свойства песочницы, которые планируют поддержать iframes.
Это свойство позволит разработчикам выбирать, как интерпретируются данные, сказал Wysopal, к сожалению, как и большинство HTML, дизайн, вероятно, будет неправильно понят разработчиками и, вероятно, будет отключен разработчиками, поскольку его неудобно использовать. При правильном обращении эта функция поможет защитить от злонамеренных сторонних рекламных объявлений или предотвратить воспроизведение ненадлежащего содержания.