HTML 5新功能出现新的安全风险

日期: 2010-08-24 作者:Nick Lewis翻译:曾芸芸 来源:TechTarget中国 英文

问:是否如一些防病毒厂商所说的一样,新的HTML 5功能为恶意软件编写者提供了新的机遇?能解释一下原因吗?   答:实际上,每一种新技术都会给恶意软件编写者带来新的机遇,新的HTML 5功能也为他们提供了许多机遇。即使 HTML 5具有整合的安全功能,但是仍然有一些攻击者试图攻击它。和其他新技术一样,HTML 5也面临着攻击和安全漏洞调查。HTML 5更复杂,支持的功能(现在多个不同的插件所有的功能)也更多。

一般情况下,更广泛的功能更容易导致攻击。代码越多,就越复杂,攻击者可以利用的潜在漏洞也越多。   一种新的高风险HTML 5功能是跨域信任功能。该功能允许不同的域(域名服务器名)在你的We……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

问:是否如一些防病毒厂商所说的一样,新的HTML 5功能为恶意软件编写者提供了新的机遇?能解释一下原因吗?

  :实际上,每一种新技术都会给恶意软件编写者带来新的机遇,新的HTML 5功能也为他们提供了许多机遇。即使 HTML 5具有整合的安全功能,但是仍然有一些攻击者试图攻击它。和其他新技术一样,HTML 5也面临着攻击和安全漏洞调查。HTML 5更复杂,支持的功能(现在多个不同的插件所有的功能)也更多。一般情况下,更广泛的功能更容易导致攻击。代码越多,就越复杂,攻击者可以利用的潜在漏洞也越多。

  一种新的高风险HTML 5功能是跨域信任功能。该功能允许不同的域(域名服务器名)在你的Web浏览器的iframe间进行通信。刚开始,这个功能对开发者来说很复杂,它需要认证从其他域来的跨域请求是来自他们所请求的域。虽然这个功能很先进,但技术用户发现很难理解其所包含的风险。恶意软件编写者很可能会试图滥用这个功能以获得敏感数据,因为认证过程可能不会按期望的进程进行。

  HTML 5所面临的一个最困难的安全问题是将功能从服务器移到客户端,因为服务器会过度的相信客户。举一个例子,服务器相信数据是来自一个具有有效的非恶意输入的客户端。所以,应该对服务器和应用程序进行编程,来验证从客户端来的数据,以确保它不是恶意的。

作者

Nick Lewis
Nick Lewis

Nick Lewis是 Internet2项目经理,曾任Saint Louis大学信息安全官。

相关推荐

  • 恶意软件检测与防御

    一般来说,恶意软件只是进入系统的切入点,通过下载和安装其他应用来获取管理权限,完成攻击。然而,随着网络安全战的持续胶着,威胁环境日益复杂,恶意软件也在连番升级……

  • 专家称:防止Web应用威胁任重道远

    在2012年前两个季度之间SQL注入和跨站脚本攻击仍然是最有针对性的Web应用漏洞,而HTML 5更使这种情况雪上加霜。

  • 2012年安全预测

    2012年安全界会有怎样的趋势?大型恶意网络继续推动绝大多数攻击?搜索引擎继续成为主要的恶意软件攻击渠道?APT变得个性化?安全无边界?社交媒体入侵传统应用?

  • Adobe Flash替代方案:避免Adobe Flash恶意软件的最佳方法

    Adobe Flash看起来很容易受到恶意软件的攻击。有没有什么可以替代Adobe Flash,以帮助企业在具有相关功能的同时,又不受到威胁?