问:是否如一些防病毒厂商所说的一样,新的HTML 5功能为恶意软件编写者提供了新的机遇?能解释一下原因吗? 答:实际上,每一种新技术都会给恶意软件编写者带来新的机遇,新的HTML 5功能也为他们提供了许多机遇。即使 HTML 5具有整合的安全功能,但是仍然有一些攻击者试图攻击它。和其他新技术一样,HTML 5也面临着攻击和安全漏洞调查。HTML 5更复杂,支持的功能(现在多个不同的插件所有的功能)也更多。
一般情况下,更广泛的功能更容易导致攻击。代码越多,就越复杂,攻击者可以利用的潜在漏洞也越多。 一种新的高风险HTML 5功能是跨域信任功能。该功能允许不同的域(域名服务器名)在你的We……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
问:是否如一些防病毒厂商所说的一样,新的HTML 5功能为恶意软件编写者提供了新的机遇?能解释一下原因吗?
答:实际上,每一种新技术都会给恶意软件编写者带来新的机遇,新的HTML 5功能也为他们提供了许多机遇。即使 HTML 5具有整合的安全功能,但是仍然有一些攻击者试图攻击它。和其他新技术一样,HTML 5也面临着攻击和安全漏洞调查。HTML 5更复杂,支持的功能(现在多个不同的插件所有的功能)也更多。一般情况下,更广泛的功能更容易导致攻击。代码越多,就越复杂,攻击者可以利用的潜在漏洞也越多。
一种新的高风险HTML 5功能是跨域信任功能。该功能允许不同的域(域名服务器名)在你的Web浏览器的iframe间进行通信。刚开始,这个功能对开发者来说很复杂,它需要认证从其他域来的跨域请求是来自他们所请求的域。虽然这个功能很先进,但技术用户发现很难理解其所包含的风险。恶意软件编写者很可能会试图滥用这个功能以获得敏感数据,因为认证过程可能不会按期望的进程进行。
HTML 5所面临的一个最困难的安全问题是将功能从服务器移到客户端,因为服务器会过度的相信客户。举一个例子,服务器相信数据是来自一个具有有效的非恶意输入的客户端。所以,应该对服务器和应用程序进行编程,来验证从客户端来的数据,以确保它不是恶意的。
翻译
相关推荐
-
恶意软件检测与防御
一般来说,恶意软件只是进入系统的切入点,通过下载和安装其他应用来获取管理权限,完成攻击。然而,随着网络安全战的持续胶着,威胁环境日益复杂,恶意软件也在连番升级……
-
专家称:防止Web应用威胁任重道远
在2012年前两个季度之间SQL注入和跨站脚本攻击仍然是最有针对性的Web应用漏洞,而HTML 5更使这种情况雪上加霜。
-
2012年安全预测
2012年安全界会有怎样的趋势?大型恶意网络继续推动绝大多数攻击?搜索引擎继续成为主要的恶意软件攻击渠道?APT变得个性化?安全无边界?社交媒体入侵传统应用?
-
Adobe Flash替代方案:避免Adobe Flash恶意软件的最佳方法
Adobe Flash看起来很容易受到恶意软件的攻击。有没有什么可以替代Adobe Flash,以帮助企业在具有相关功能的同时,又不受到威胁?