HTML 5被吹捧為Adobe Flash的替代品,它能夠更有效地顯示音頻、圖形和視頻,但是研究這項技術的安全專家稱HTML 5將給企業安全帶來新的挑戰。
英國安全供應商Sophos公司高級技術專家James Lyne表示,潛在的HTML 5安全問題可能會影響該技術的迅速普及。如果HTML 5功能沒有進行正確編程,安全漏洞可能使攻擊者獲取對敏感數據的訪問權限。 HTML 5技術功能豐富,為開發人員提供了本地存儲、內置圖形渲染和挖掘移動設備的地理定位數據或者在瀏覽器沒有連接到互聯網時顯示消息的功能。
“HTML 5的所有東西都是本地和內置的,而不需要各種插件,”Lyne表示,“如果我們使用良好的安全模式、良好的權限模式和良好的測試來標準化HTML 5技術,那麼無論從用戶體驗還是安全性來看,HTML 5絕對是最佳選擇。”
HTML 5標準仍然在起草中,不過已經被大部分瀏覽器製造商採用。 Adobe系統公司在11月份宣布,它將不再支持智能手機和平板電腦上的Flash功能,而是支持HTML 5。萬維網聯盟(World Wide Web Consortium,W3C)也一直在致力於製定標準來改善HTML的功能。
專家稱萬維網聯盟仍然需要努力解決HTML 5的安全和隱私問題。標準並沒有解決cookie追踪問題,這是經常被批評的問題,該功能主要用於營銷人員追踪個人的瀏覽習慣。 HTML 5引入了很多追踪和存儲web用戶信息的新方式。 Lyne表示,清理敏感信息和讓用戶管理隱私數據並沒有得到規範。
此外,針對Flash應用程序使用的常見攻擊技術—Clickjacking可以引誘用戶在訪問網站或者使用web應用程序時執行惡意代碼或者點擊惡意鏈接。瀏覽器製造商已經部署了很多保護措施來預防大多數clickjacking攻擊。
趨勢科技公司高級威脅研究人員Robert McArdle指出,JavaScript形式的clickjacking防禦對於HTML 5並沒有用,HTML 5還增加了一個沙箱功能。
“在很多情況下,這的確更加安全,但是無法利用目前對付clickjacking最強的抵禦方法,”McArdle在趨勢科技的TrendLabs博客中寫道。
企業還需要才去額外的步驟來防止利用HTML 5漏洞的攻擊,web內容過濾、防病毒和其他端點安全技術將幫助抵禦攻擊,Lyne表示。
“我希望我們能夠在各大瀏覽器間達成一致的安全模式,”Lyne表示,“如果我們讓它順其自然的發展,我相信在HTML 5普及的初期將會有一段痛苦時期。 ”
此外,開放式Web應用程序安全項目OWASP的成員正在開發開放式Web應用程序安全項目OWASP的成員們正在為應用程序開發人員開發一份HTML 5最佳做法文檔以及網站。安全測試供應商Veracode公司研究副總裁Chris Eng表示,開發人員可能會關閉那些他們不理解的HTML 5功能,而這可能帶來安全問題。
“開發人員可以做的最重要的事情就是記住基本的安全原則,例如,所有用戶輸入都應視為不可信任的,”Eng表示,“他們應該學習新的HTML 5功能的實際作用。”
本文轉載gamelook,編輯僅做翻譯。詳細請查看原網站文章。