HTML5 zvyšuje nové bezpečnostní problémy

, bezpečnostní tým pro prohlížeč Firefox má novou verzi Web HyperText Markup Language, HTML5, především v mysli.

"Webové aplikace se stávají neuvěřitelně bohatými pomocí HTML5." Prohlížeč začíná spravovat plné aplikace a nikoliv pouze webové stránky, "řekl Sid Stamm, který pracuje na bezpečnostních otázkách pro platformu Mozilla Foundation. Stamm mluvil na Usenix Security Symposium, které se konalo minulý týden ve Washingtonu DC

"Existuje mnoho útoků, na které musíme přemýšlet," řekl.

Ve stejném týdnu Stamm vyjádřil starosti nad HTML5, vývojáři z prohlížeče Opera byli zaneprázdněni opravou chyby zabezpečení přetečení vyrovnávací paměti, která by mohla být využívána pomocí funkce vykreslování obrázků ve formátu HTML5

Je nevyhnutelné, že nová sada standardů pro vykreslování webových stránek W3C (World Wide Web Consortium) jako HTML5, přichází s úplně novým svazkem zranitelností? Přinejmenším někteří vědci v oblasti bezpečnosti myslí, že to je takový případ.

"HTML5 přináší mnoho funkcí a síly na webu. Můžete to udělat mnohem víc [škodlivou práci] s prostým HTML5 a JavaScriptem, než kdy bylo možné předtím "uvedl bezpečnostní badatel Lavakumar Kuppan.

W3C" přetváří celý tento redesign na myšlenku, že spustíme spouštění aplikací v prohlížeči a v průběhu let jsme dokázali, jak bezpečný prohlížeč je, "řekl Kevin Johnson, penetrační zkoušeč s bezpečnostní poradenskou firmou Secure Ideas. "Musíme se vrátit k porozumění, že prohlížeč je škodlivé prostředí. Ztratili jsme to."

Ačkoli je to samo o sobě název specifikace, HTML5 se také často používá k popisu souboru volně propojených souborů standardů, které lze společně využít k vybudování plnohodnotných webových aplikací. Nabízejí možnosti, jako je formátování stránky, ukládání dat offline, předávání obrázků a další aspekty. (Ačkoli to není specifikace W3C, v těchto normách je také často používán JavaScript, takže se široce používá v budování webových aplikací.)

Tato nová navrhovaná funkčnost začíná být prozkoumána výzkumnými pracovníky v oblasti bezpečnosti., Kuppan a další výzkumníci zveřejnili způsob zneužití mezipaměti aplikace HTML5 offline. Google Chrome, Safari, Firefox a beta prohlížeč Opera již tuto funkci implementovali a byly by zranitelné vůči útokům, které tento přístup používají.

Výzkumníci tvrdí, že protože jakýkoli web může vytvořit mezipaměť počítač uživatele a v některých prohlížečích to bez výslovného souhlasu uživatele, může útočník nastavit falešnou přihlašovací stránku na web, jako je například stránka sociálních sítí nebo e-commerce. Taková falešná stránka by pak mohla být použita k odcizení pověření uživatele.

Jiní vědci byli rozděleni na hodnotu tohoto nálezu.

"Je to zajímavý twist, ale zdá se, že neposkytuje síťovým útočníkům žádnou výhodu nad rámec toho, co oni mohou dosáhnout, "napsal Chris Evans na mailing listu Full Disclosure. Evans je tvůrcem softwaru "Very Secure File Transfer Protocol" (vsftp)

Dan Kaminsky, hlavní vědec výzkumné společnosti Recursion Ventures, souhlasil, že tato práce je pokračováním útoků vyvinutých před HTML5. "Prohlížeče nejen požadují obsah, vykreslují je a odhodí je, ukládají je také pro pozdější použití … Lavakumar pozoruje, že technologie další ukládání do mezipaměti trpí stejnou vlastností," uvedl v e-mailovém rozhovoru.

Kritici souhlasili s tím, že tento útok by se spoléhal na stránky, které nepoužívají protokol SSL (Secure Sockets Layer) pro šifrování dat mezi prohlížečem a serverem webových stránek, který se běžně používá. Ale i kdyby se tato práce neobjevila nový typ zranitelnosti, ukazuje to, že v tomto novém prostředí může být znovu použita stará zranitelnost.

Johnson říká, že s kódem HTML5 mnohé z nových funkcí představují hrozby samy o sobě, protože zvyšují počet způsobů, jak by útočník mohl využít prohlížeč uživatele, aby způsobil nějakou škodu.

na zranitelnosti - přetečení vyrovnávacích pamětí, útoky SQL injection, opravu, opravu, sledování, "řekl Johnson. Ale v případě HTML5 se často objevují samotné funkce ", které mohou být použity k útoku na nás," řekl.

Jako příklad Johnson poukazuje na Google Gmail, který je časným uživatelem místních možností úložiště HTML5. Předtím, než je HTML5, mohl útočník muset z počítače ukrást soubory cookie a dekódovat je, aby získal heslo pro službu elektronické pošty online. Nyní útočník potřebuje pouze vstup do prohlížeče uživatele, kde Gmail vypráví kopii doručené pošty.

"Tyto sady funkcí jsou děsivé," řekl. "Pokud mohu najít chybu ve své webové aplikaci a vložit kód HTML5, mohu upravit váš web a skrýt věci, které nechci vidět."

S lokálním úložištěm útočník může číst data z vašeho prohlížeče, nebo vložte jiná data bez vašeho vědomí. Při geolokaci může útočník zjistit vaši polohu bez vašeho vědomí. S novou verzí kaskádových stylů (CSS) může útočník řídit, jaké prvky stránky se zvýšeným obsahem CSS můžete vidět. WebSocket HTML5 dodává do prohlížeče síťový komunikační zásobník, který by mohl být zneužit pro skryté komunikace v domovní síti.

To neznamená, že výrobci prohlížečů tento problém neuvědomují. I když se snaží přispět k podpoře nových norem, hledají způsoby, jak zabránit jejich zneužití. Na sympóziu v Usenix si Stamm všiml některé techniky, které zkoumá tým Firefoxu, aby zmírnily škody, které by mohly být způsobeny těmito novými technologiemi.

Například pracují na alternativní plug-in platformě JetPack, která by udrželo přísnější kontrolu nad tím, jaké akce by mohl plug-in spustit. "Pokud máme úplnou kontrolu nad [aplikačním programovým rozhraním], můžeme říci:" Tento doplněk požaduje přístup na Paypal.com, dovolíte mu to? "" Stamm řekl.

JetPack může také používat deklarativní bezpečnostní model, ve kterém plug-in musí prohlásit prohlížeči každou akci, kterou hodlá podniknout. Prohlížeč pak bude monitorovat plug-in, aby se zajistilo, že zůstane v rámci těchto parametrů.

Přesto, zda mohou výrobci prohlížečů udělat dostatek zabezpečení pro HTML5, je třeba vidět, kritici tvrdí.

"Podnik musí začít hodnotit stojí za to, aby se tyto funkce rozšířily o nové prohlížeče, "řekl Johnson. "Je to jeden z mála, co slyšíte" Víte, možná [Internet Explorer] 6 byl lepší. ""

Joab Jackson pokrývá podnikový software a obecnou technologii novinky pro

IDG News Service. Sledujte Joab na Twitteru @ @ Joab_Jackson. Joabova e-mailová adresa je [email protected]