作为Adobe Flash的替代品,HTML 5因为能更加有效地展现音频、图像和视频而得到赞誉。但是研究该技术的安全专家表示,它会给企业的安全专业人员们带来新的挑战。 英国安全厂商Sophos的高级技术人员James Lyne谈到,潜在的HTML 5安全问题可能源于该技术的迅速采用。如果HTML 5的功能没有正确地编程实现,其安全漏洞可能让攻击者们获得对敏感web站点数据的访问。
该技术功能丰富,赋予开发者们本地存储、内置图形渲染的能力,且当浏览器没有连接到因特网时能在移动设备上利用地理位置数据或是显示消息。 “HTML 5中的一切都是内嵌的,不要求一套插件”,Lyne说道。“如果我们能……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
作为Adobe Flash的替代品,HTML 5因为能更加有效地展现音频、图像和视频而得到赞誉。但是研究该技术的安全专家表示,它会给企业的安全专业人员们带来新的挑战。
英国安全厂商Sophos的高级技术人员James Lyne谈到,潜在的HTML 5安全问题可能源于该技术的迅速采用。如果HTML 5的功能没有正确地编程实现,其安全漏洞可能让攻击者们获得对敏感web站点数据的访问。该技术功能丰富,赋予开发者们本地存储、内置图形渲染的能力,且当浏览器没有连接到因特网时能在移动设备上利用地理位置数据或是显示消息。
“HTML 5中的一切都是内嵌的,不要求一套插件”,Lyne说道。“如果我们能用良好的安全模型、良好的权限模型和充分的测试将它标准化,那么对于用户跨设备保持体验的一致性和安全来说都是非常有益的”。
HTML 5的标准尚处于草案阶段,但是它已经被大多数的浏览器开发商们所采用。与之前它所在的地位相比,Adobe System公司来了个180度大转变,十一月该公司宣布不再支持智能手机和平板设备上的Flash,转而支持HTML 5。包含浏览器开发商的万维网联盟(World Wide Web Consortium,WC3)一直在开发标准提高HTML自身的能力。
专家们认为WC3必须继续解决HTML 5中的安全和隐私问题。该标准没有解决一个经常被批评的情况,即cookie追踪,该问题被市场人员用来追踪个人的浏览习惯。HTML 5引入了许多新的方法来追踪和存储关于web用户的信息。Lyne表示,用来清除敏感信息以及让用户管理隐私数据的例行程序还没有明确的定义。
此外,一种经常用于攻击Flash应用的技术——点击劫持(clickjacking),能在用户与web站点或是web应用交互时诱骗他们执行恶意代码或点击恶意链接。浏览器开发商们已经有到位的保护措施来预防大多数的clickjacking攻击。
据位于东京的趋势科技公司高级威胁研究员Robert McArdle,那些以Java脚本的形式融合clickjacking防御的站点会发现这对于HTML 5来说是无用的,HTML 5增加了一项沙盘(sandbox)特色功能。
McArdle在趋势科技的TrendLab博客上写道,“在许多情况下,这实际上导致需要更多的安全设置,但是它的不利是,让当前clickjacking攻击防御形同虚设”。
根据Sophos公司本月发布的一项报告“HTML 5:闪耀夺目的新web技术,还是愚蠢的新安全问题?”,企业可能需要采取额外的措施来防范利用HTML 5弱点的攻击。Web内容过滤、防病毒和其它终端安全技术会有助于抵御这些攻击,Lyne补充道。
“我希望我们能跨浏览器达成一致的安全模型”,Lyne说道。“如果对它放任不管,我预计在早期采用HTML 5的日子里我们将经历一段痛苦的时光”。
此外,开放Web应用安全项目(OWASP)的成员们正在为应用开发人员们开发HTML 5的最佳实践文档和web站点。位于马萨诸塞州波士顿的应用安全测试厂商Veracode有限公司的副总裁Chris Eng在一篇名为“HTML 5安全概述”的博客中谈到,那些不理解HTML 5某些功能的开发人员们可能将其禁用,进而产生一些安全问题。
“开发人员们能做的最重要的事情是记住基本的安全原则,例如所有用户的输入都应该被看作是不可信的这种思想”,Eng写到。“开发人员们应该学习HTML 5的新功能是如何工作的,以便理解在哪里他们容易做出错误的假设”。
相关推荐
-
被忽视的Web安全漏洞:如何识别和解决?
在Web安全方面,面对各种安全漏洞,IT和安全专业人员通常采取防御措施,而缺少积极主动的措施。
-
针对Windows零日漏洞,微软是不是太过“无作为”了?
之前谷歌披露了一个Windows内核零日漏洞,微软因其对该零日漏洞的无作为而遭致严重抨击,该漏洞尚未被修补,目前正在被攻击者利用……
-
渗透测试人员必备技能:实施渗透测试的HTTP方法
本文将讨论一些实施渗透测试时的重要HTTP方法,旨在帮助没有Web应用渗透测试知识的渗透测试人员能够充分利用已有工具,成功地实施端到端的Web渗透测试。
-
SSL采购季(二):如何选购最佳SSL?
如果你的企业有意采购SSL,那么本系列文章可以给一个很好的方向。在之前一篇文章中,我们简要介绍了SSL定义及其工作原理;在本文中,我们将探讨目前各种可用的SSL证书类型以及企业如何选择最佳的SSL。