HTML5 Itinaas ang Mga Bagong Isyu sa Seguridad

Pagdating sa bagong seguridad Ang mga isyu, ang koponan ng seguridad para sa browser ng Firefox ay may bagong bersyon ng Web HyperText Markup Language, HTML5, nangunguna sa isip.

"Ang mga web app ay nagiging sobrang mayaman sa HTML5. Nagsisimula ang browser upang pamahalaan ang mga full-bore application at hindi lamang mga Web page, "sabi ni Sid Stamm, na nagtatrabaho sa mga isyu sa seguridad ng Firefox para sa Mozilla Foundation. Nagsasalita si Stamm sa Useless Security Symposium, na ginanap noong nakaraang linggo sa Washington DC

"Mayroong maraming mga atake sa ibabaw na kailangan nating isipin," sabi niya.

Sa parehong linggo Stamm nagpahayag ng pag-aalala sa HTML5, mga developer ng Opera browser ay abala sa pag-aayos ng isang buffer overflow na kahinaan na maaaring mapagsamantalahan gamit ang HTML5 canvas na tampok na pag-render ng imahe.

Hindi ba maiiwasan na ang bagong hanay ng mga pamantayan ng World Wide Web Consortium (W3C) para sa pag-render ng mga pahina ng Web, bilang HTML5, ay may isang buong bagong bundle ng mga kahinaan?

"Ang HTML5 ay nagdudulot ng maraming mga tampok at kapangyarihan sa Web. Maaari mong gawin ang higit pa [nakakahamak na gawain] na may simpleng HTML5 at JavaScript ngayon kaysa kailanman ito ay posible bago, "sabi ng tagapagpananaliksik ng seguridad na si Lavakumar Kuppan.

Ang W3C ay" giring sa buong disenyo na ito sa ideya na sisimulan namin ang pagsasakatuparan ng mga application sa loob ng browser, at napatunayan na namin sa mga taon kung paano secure ang mga browser, "sabi ni Kevin Johnson, isang tagasubok na pagtagos sa kompanya ng pagkonsulta sa seguridad Secure Ideas. "Kailangan naming bumalik sa pag-unawa sa browser ay isang malisyosong kapaligiran. Nawala namin ang site na iyon."

Kahit na ito ay ang pangalan ng isang detalye sa sarili nitong, HTML5 ay madalas na ginagamit din upang ilarawan ang isang koleksyon ng mga maluwag na magkakaugnay na hanay ng mga pamantayan na, na kinuha magkasama, ay maaaring gamitin upang bumuo ng mga ganap na web application. Nag-aalok sila ng mga kakayahan tulad ng pag-format ng pahina, imbakan ng offline na data, pag-render ng imahe at iba pang mga aspeto. (Kahit na hindi isang W3C pagsasapalaran, JavaScript ay madalas na lumped sa mga pamantayan na ito, kaya malawak na ginagamit ito ay sa pagbuo ng mga aplikasyon ng Web).

Ang lahat ng mga bagong ipinanukalang pag-andar ay nagsisimula na ginalugad sa pamamagitan ng mga mananaliksik ng seguridad., Si Kuppan at isa pang mananaliksik ay nag-post ng isang paraan upang maling magamit ang HTML5 Offline Application Cache. Ang Google Chrome, Safari, Firefox at ang beta ng Opera browser ay nagpatupad na ng lahat ng tampok na ito, at maaaring mahina laban sa mga pag-atake na ginamit sa diskarte na ito, ang nabanggit.

Ang mga mananaliksik ay nag-uutos na dahil ang anumang Web site ay maaaring lumikha ng cache sa ang computer ng user, at, sa ilang mga browser, gawin ito nang tahasang pahintulot ng gumagamit na iyon, maaaring mag-set up ang isang magsasalakay ng pekeng pahina ng pag-log-in sa isang site tulad ng social networking o site ng e-commerce. Ang nasabing isang pekeng pahina ay maaaring gamitin upang magnakaw ng mga kredensyal ng gumagamit.

Iba pang mga mananaliksik ay hinati tungkol sa halaga ng paghahanap na ito.

"Ito ay isang kawili-wiling iuwi sa ibang bagay ngunit ito ay hindi tila nag-aalok ng mga attackers network ng anumang karagdagang kalamangan na lampas sa kung ano maaari na nilang makamit, "ang isinulat ni Chris Evans sa buong mailing list. Si Evans ay ang tagalikha ng software ng Malakas na File Transfer Protocol (vsftp).

Si Dan Kaminsky, punong siyentipiko ng kompanya ng seguridad sa pananaliksik na Recursion Ventures, ay sumang-ayon na ang gawaing ito ay isang pagpapatuloy ng mga pag-atake na binuo bago ang HTML5. "Ang mga browser ay hindi lamang humiling ng nilalaman, mag-render ito, at itapon ito. Nag-iimbak din ito para magamit ito sa ibang pagkakataon … Sinasalamin ni Lavakumar na ang mga teknolohiyang caching sa susunod na henerasyon ay nagdurusa sa ganitong katangian," sabi niya, sa isang e-mail interview.

Ang mga kritiko ay sumang-ayon na ang pag-atake na ito ay umaasa sa isang site na hindi gumagamit ng Secure Sockets Layer (SSL) upang i-encrypt ang data sa pagitan ng browser at Web page server, na karaniwang ginagawa. Ngunit kahit na ang gawaing ito ay hindi nakakuha ng isang bagong uri ng kahinaan, ito ay nagpapakita na ang isang lumang kahinaan ay maaaring muling gamitin sa bagong kapaligiran na ito.

Sinasabi ni Johnson na, sa HTML5, marami sa mga bagong tampok ang bumubuo ng mga pananakot sa kanilang sarili, dahil sa kung paano nila pinarami ang bilang ng mga paraan ng isang pag-atake ng manlalaban sa browser ng gumagamit upang gumawa ng pinsala ng ilang mga uri.

"Para sa mga taon ng seguridad ay nakatuon sa mga kahinaan - buffer overflows, pag-atake ng SQL injection. Pinagsama namin ang mga ito, inaayos namin ang mga ito, sinusubaybayan namin ang mga ito, "sabi ni Johnson. Ngunit sa kaso ng HTML5, kadalasan ang mga tampok nito mismo "na maaaring magamit sa pag-atake sa amin," sinabi niya.

Bilang halimbawa, tinuturo ni Johnson sa Gmail ng Google, na isang maagang gumagamit ng mga kakayahan sa lokal na imbakan ng HTML5. Bago ang HTML5, ang isang magsasalakay ay maaaring kailangang magnakaw ng mga cookies mula sa isang makina at mabasa ang mga ito upang makuha ang password para sa isang serbisyong online na e-mail. Ngayon, kailangan lamang ng pag-atake upang makakuha ng entry sa browser ng gumagamit, kung saan ang mga kwento ng Gmail ay isang kopya ng inbox.

"Ang mga set na tampok na ito ay nakakatakot," sabi niya. "Kung makakahanap ako ng isang depekto sa iyong Web application, at mag-iniksyon ng HTML5 code, maaari kong baguhin ang iyong site at itago ang mga bagay na hindi ko nais mong makita."

Sa lokal na imbakan, ang isang pag-atake ay maaaring magbasa ng data mula sa iyong browser, o magpasok ng iba pang data doon nang wala ang iyong kaalaman. Sa geolocation, ang isang magsasalakay ay maaaring matukoy ang iyong lokasyon nang wala ang iyong kaalaman. Gamit ang bagong bersyon ng Cascading Style Sheets (CSS), ang isang pag-atake ay maaaring makontrol kung anong mga elemento ng isang pahina na pinahusay ng CSS ang maaari mong makita. Nagbibigay ang HTML5 WebSocket ng isang network communication stack sa browser, na maaaring maling magamit para sa mapigil na mga backdoor na komunikasyon.

Hindi ito sinasabi na ang mga gumagawa ng browser ay hindi nakakaalam sa isyung ito. Kahit na nagtatrabaho sila upang idagdag sa suporta para sa mga bagong pamantayan, tinitingnan nila ang mga paraan upang pigilan ang kanilang maling paggamit. Sa symposium ng Usenix, binanggit ni Stamm ang ilan sa mga pamamaraan na tinutukoy ng koponan ng Firefox upang mapigilan ang pinsala na maaaring gawin sa mga bagong teknolohiya.

Halimbawa, nagtatrabaho sila sa isang alternatibong platform ng plug-in, na tinatawag na JetPack, na ay patuloy na kontrolin kung anong mga pagkilos ang maisagawa ng isang plug-in. "Kung mayroon kaming kumpletong kontrol sa [application programming interface], maaari naming sabihin 'Ang add-on ay humihiling ng access sa Paypal.com, pinapayagan mo ba ito?'" Sinabi ni Stamm.

Maaari ring gamitin ang JetPack isang deklaratibong modelo ng seguridad, kung saan dapat na idedeklara ng plug-in sa browser ang bawat pagkilos na nilalayon nito. Ang browser ay pagkatapos ay susubaybayan ang plug-in upang matiyak na mananatili ito sa loob ng mga parameter na ito. Gayunpaman, kung ang mga gumagawa ng browser ay makakagawa ng sapat upang maprotektahan ang nananatiling HTML5 upang makita, ang mga kritiko ay sumalungat. ito ay nagkakahalaga ng mga tampok na ito upang ilunsad ang mga bagong browser, "sinabi ni Johnson. "Ito ay isa sa mga ilang beses na maaari mong marinig 'Alam mo, marahil [Internet Explorer] 6 ay mas mahusay.'"

Sinasaklaw ni Joab Jackson ang enterprise software at pangkalahatang teknolohiya breaking balita para sa

Ang IDG News Service

. Sundin si Joab sa Twitter sa @Joab_Jackson. Ang e-mail address ni Joab ay [email protected]