HTML5被吹捧为AdobeFlash的替代品,它能够更有效地显示音频、图形和视频,但是研究这项技术的安全专家称HTML5将给企业安全带来新的挑战。
英国安全供应商Sophos公司高级技术专家JamesLyne表示,潜在的HTML5安全问题可能会影响该技术的迅速普及。如果HTML5功能没有进行正确编程,安全漏洞可能使攻击者获取对敏感数据的访问权限。HTML5技术功能丰富,为开发人员提供了本地存储、内置图形渲染和挖掘移动设备的地理定位数据或者在浏览器没有连接到互联网时显示消息的功能。
“HTML5的所有东西都是本地和内置的,而不需要各种插件,”Lyne表示,“如果我们使用良好的安全模式、良好的权限模式和良好的测试来标准化HTML5技术,那么无论从用户体验还是安全性来看,HTML5绝对是最佳选择。”
HTML5标准仍然在起草中,不过已经被大部分浏览器制造商采用。Adobe系统公司在11月份宣布,它将不再支持智能手机和平板电脑上的Flash功能,而是支持HTML5。万维网联盟(WorldWideWebConsortium,W3C)也一直在致力于制定标准来改善HTML的功能。
专家称万维网联盟仍然需要努力解决HTML5的安全和隐私问题。标准并没有解决cookie追踪问题,这是经常被批评的问题,该功能主要用于营销人员追踪个人的浏览习惯。HTML5引入了很多追踪和存储web用户信息的新方式。Lyne表示,清理敏感信息和让用户管理隐私数据并没有得到规范。
此外,针对Flash应用程序使用的常见攻击技术—Clickjacking可以引诱用户在访问网站或者使用web应用程序时执行恶意代码或者点击恶意链接。浏览器制造商已经部署了很多保护措施来预防大多数clickjacking攻击。
趋势科技公司高级威胁研究人员RobertMcArdle指出,JavaScript形式的clickjacking防御对于HTML5并没有用,HTML5还增加了一个沙箱功能。
“在很多情况下,这的确更加安全,但是无法利用目前对付clickjacking最强的抵御方法,”McArdle在趋势科技的TrendLabs博客中写道。
企业还需要才去额外的步骤来防止利用HTML5漏洞的攻击,web内容过滤、防病毒和其他端点安全技术将帮助抵御攻击,Lyne表示。
“我希望我们能够在各大浏览器间达成一致的安全模式,”Lyne表示,“如果我们让它顺其自然的发展,我相信在HTML5普及的初期将会有一段痛苦时期。”
此外,开放式Web应用程序安全项目OWASP的成员正在开发开放式Web应用程序安全项目OWASP的成员们正在为应用程序开发人员开发一份HTML5最佳做法文档以及网站。安全测试供应商Veracode公司研究副总裁ChrisEng表示,开发人员可能会关闭那些他们不理解的HTML5功能,而这可能带来安全问题。
“开发人员可以做的最重要的事情就是记住基本的安全原则,例如,所有用户输入都应视为不可信任的,”Eng表示,“他们应该学习新的HTML5功能的实际作用。” |