HTML5 ridică noi probleme de securitate

"Aplicațiile Web devin incredibil de bogate cu HTML5. și nu doar paginile Web ", a declarat Sid Stamm, care lucrează la problemele de securitate Firefox pentru Mozilla Foundation. Stamm vorbea la Simpozionul de securitate Usenix, care a avut loc săptămâna trecută la Washington DC

"Există o mulțime de suprafețe de atac pe care trebuie să ne gândim", a spus el.

În aceeași săptămână, Stamm și-a exprimat îngrijorarea față de HTML5, din browser-ul Opera au fost ocupați pentru a stabili o vulnerabilitate de depășire a tamponului care ar putea fi exploatată utilizând caracteristica de randare a imaginilor în canava HTML5.

Este inevitabil ca noul set de standarde de redare a paginilor Web, consacrate de World Wide Web Consortium (W3C) ca HTML5, veniți cu un întreg pachet de vulnerabilități? Cel puțin unii cercetători în domeniul securității se gândesc că acest lucru este cazul

"HTML5 aduce o mulțime de caracteristici și putere pe Web. Puteți face atât de mult [lucru rău intenționat] cu HTML5 simplu și JavaScript acum decât a fost vreodată posibil înainte ", a declarat cercetătorul de securitate Lavakumar Kuppan.

W3C" se ocupă de acest redesign întreg asupra ideii că vom începe să executăm aplicații în browser și ne-am dovedit de-a lungul anilor cât de bine sunt browserele sigure ", a spus Kevin Johnson, un tester de penetrare cu firma de consultanta de securitate Secure Ideas. "Trebuie să ne întoarcem să înțelegem că browserul este un mediu rău intenționat. Am pierdut site-ul de aici".

Deși este numele unei specificații pe cont propriu, HTML5 este, de asemenea, adesea folosit pentru a descrie o colecție de mulțimi libere de standarde care, luate împreună, pot fi utilizate pentru a construi aplicații web full-fledged. Acestea oferă capabilități precum formatarea paginii, stocarea offline a datelor, predarea imaginilor și alte aspecte. (Deși nu este o spec. W3C, JavaScript este, de asemenea, frecvent concentrat în aceste standarde, atât de utilizat pe scară largă în construirea aplicațiilor Web).

Toate aceste noi funcționalități propuse încep să fie explorate de cercetători în domeniul securității., Kuppan și un alt cercetător au postat o modalitate de a folosi în mod incorect Cache-ul de aplicații offline HTML5. Google Chrome, Safari, Firefox și versiunea beta a browserului Opera au implementat deja această caracteristică și ar fi vulnerabile la atacurile care au folosit această abordare, au remarcat.

Cercetătorii susțin că pentru că orice site Web poate crea un cache pe computerul utilizatorului și, în anumite browsere, fără permisiunea explicită a acestuia, un atacator ar putea configura o pagină de logare falsă pe un site, cum ar fi un site de socializare sau un site de comerț electronic. O astfel de pagină falsă ar putea fi folosită pentru a fura acreditările utilizatorului

Alți cercetători s-au împărțit în legătură cu valoarea acestei constatări.

"Este o întorsătură interesantă, dar nu pare să ofere atacatorilor de rețea niciun avantaj suplimentar dincolo de ceea ce ei pot realiza deja ", a scris Chris Evans pe lista de discuții complete. Evans este creatorul softului de transfer de fișiere foarte sigur (vsftp).

Dan Kaminsky, om de știință șef al firmei de cercetare de securitate Recursion Ventures, a fost de acord că această lucrare este o continuare a atacurilor dezvoltate înainte de HTML5. "Browser-ii nu doar solicită conținut, îl redau și îl aruncă, de asemenea îl stochează pentru o utilizare ulterioară … Lavakumar observă că tehnologiile de caching de generație următoare suferă de aceeași trăsătură", a spus el într-un interviu e-mail.

Criticii au fost de acord că acest atac se va baza pe un site care nu utilizează Secure Sockets Layer (SSL) pentru criptarea datelor între browser și serverul de pagini Web, care este practicat în mod obișnuit. Dar chiar dacă această lucrare nu a descoperit un nou tip de vulnerabilitate, arată că o vulnerabilitate veche poate fi reutilizată în acest nou mediu.

Johnson spune că, cu ajutorul HTML5, multe dintre noile caracteristici constituie amenințări pe cont propriu, datorită modului în care ele măresc numărul de modalități prin care un atacator ar putea exploata browserul utilizatorului pentru a face rău de un anumit fel.

pe vulnerabilități - depășiri de tampon, atacuri de injecție SQL, le-am patch-uri, le reparăm, le monitorizăm ", a spus Johnson. Dar, în cazul HTML5, adesea elementele "pot fi folosite pentru a ne ataca", a spus el.

Johnson arată, de exemplu, Gmail Google, care este un utilizator timpuriu al capacităților locale de stocare a HTML5. Înainte de HTML5, un atacator ar fi trebuit să fure cookie-urile de pe o mașină și să le decodeze pentru a obține parola pentru un serviciu de e-mail online. Acum, atacatorul trebuie doar să câștige intrarea în browser-ul utilizatorului, unde Gmail prezintă o copie a căsuței primite.

"Aceste seturi de caracteristici sunt înfricoșătoare", a spus el. "Dacă găsesc un defect în aplicația dvs. Web și pot introduce cod HTML5, pot modifica site-ul dvs. și ascunde lucrurile pe care nu vreau să le vedeți."

Cu spațiul de stocare local, un atacator poate citi datele din browserul dvs., sau introduceți alte date acolo fără știrea dvs. Cu localizarea geografică, un atacator vă poate determina locația fără știrea dvs. Cu noua versiune a CSS (Cascading Style Sheets), un atacator poate controla elementele unei pagini îmbunătățite CSS pe care o puteți vedea. WebSocket HTML5 furnizează un browser de rețea o stivă de comunicare în rețea, care ar putea fi folosită în mod greșit pentru comunicații ascunse în spate.

Acest lucru nu înseamnă că producătorii de browsere ignoră această problemă. Chiar și atunci când acționează pentru a adăuga sprijinul pentru noile standarde, ei caută modalități de a preveni folosirea lor necorespunzătoare. La simpozionul de la Usenix, Stamm a remarcat câteva dintre tehnicile explorate de echipa Firefox pentru a atenua daunele care pot fi cauzate de aceste noi tehnologii. De exemplu, ei lucrează la o platformă plug-in alternativă numită JetPack, care ar controla mai riguros ce acțiuni ar putea executa un plug-in. "Dacă avem control total asupra interfeței de programare a aplicațiilor, putem spune că" acest add-on solicită accesul la Paypal.com, l-ai permite? ", A spus Stamm.

JetPack poate folosi de asemenea un model declarativ de securitate, în care plug-in-ul trebuie să declare browserului fiecare acțiune pe care intenționează să o întreprindă. Browserul va monitoriza plug-in-ul pentru a se asigura că acesta rămâne în limitele acestor parametri.

Totuși, dacă producătorii de browsere pot face suficient pentru a asigura HTML5, trebuie să fie văzuți, critici susțin. merită aceste caracteristici să introducă noile browsere ", a spus Johnson. "Aceasta este una dintre puținele ocazii pe care le puteți auzi" Știți, poate [Internet Explorer] 6 a fost mai bine. "

Joab Jackson acoperă programele pentru întreprinderi și știrile generale de ultimă oră pentru

Serviciul de știri IDG

. Urmăriți-l pe Joab pe Twitter la @ Joab_Jackson. Adresa de e-mail a lui Joab este [email protected]