专家：HTML 5安全问题给企业带来威胁

做为Adobe Flash的替代品，HTML 5因为能更加有效地展现音频、图像和视频而得到赞誉。但是研究该技术的安全专家表示，它会给企业的安全专业人员们带来新的挑战。

英国安全厂商Sophos的高级技术人员James Lyne谈到，潜在的HTML 5安全问题可能源于该技术的迅速采用。如果HTML 5的功能没有正确地编程实现，其安全漏洞可能让攻击者们获得对敏感web站点数据的访问。该技术功能丰富，赋予开发者们本地存储、内置图形渲染的能力，且当浏览器没有连接到因特网时能在移动设备上利用地理位置数据或是显示消息。

“HTML 5中的一切都是内嵌的，不要求一套插件”，Lyne说道。“如果我们能用良好的安全模型、良好的权限模型和充分的测试将它标准化，那么对于用户跨设备保持体验的一致性和安全来说都是非常有益的”。

HTML 5的标准尚处于草案阶段，但是它已经被大多数的浏览器开发商们所采用。与之前它所在的地位相比，Adobe System公司来了个180度大转变，十一月该公司宣布不再支持智能手机和平板设备上的Flash，转而支持HTML 5。包含浏览器开发商的万维网联盟(World Wide Web Consortium，WC3)一直在开发标准提高HTML自身的能力。

专家们认为WC3必须继续解决HTML 5中的安全和隐私问题。该标准没有解决一个经常被批评的情况，即cookie追踪，该问题被市场人员用来追踪个人的浏览习惯。HTML 5引入了许多新的方法来追踪和存储关于web用户的信息。Lyne表示，用来清除敏感信息以及让用户管理隐私数据的例行程序还没有明确的定义。

此外，一种经常用于攻击Flash应用的技术——点击劫持(clickjacking)，能在用户与web站点或是web应用交互时诱骗他们执行恶意代码或点击恶意链接。浏览器开发商们已经有到位的保护措施来预防大多数的clickjacking攻击。

据位于东京的趋势科技公司高级威胁研究员Robert McArdle，那些以Java脚本的形式融合clickjacking防御的站点会发现这对于HTML 5来说是无用的，HTML 5增加了一项沙盘(sandbox)特色功能。

McArdle在趋势科技的TrendLab博客上写道，“在许多情况下，这实际上导致需要更多的安全设置，但是它的不利是，让当前clickjacking攻击防御形同虚设”。

根据Sophos公司本月发布的一项报告“HTML 5：闪耀夺目的新web技术，还是愚蠢的新安全问题？”，企业可能需要采取额外的措施来防范利用HTML 5弱点的攻击。Web内容过滤、防病毒和其它终端安全技术会有助于抵御这些攻击，Lyne补充道。

“我希望我们能跨浏览器达成一致的安全模型”，Lyne说道。“如果对它放任不管，我预计在早期采用HTML 5的日子里我们将经历一段痛苦的时光”。

此外，开放Web应用安全项目(OWASP)的成员们正在为应用开发人员们开发HTML 5的最佳实践文档和web站点。位于马萨诸塞州波士顿的应用安全测试厂商Veracode有限公司的副总裁Chris Eng在一篇名为“HTML 5安全概述”的博客中谈到，那些不理解HTML 5某些功能的开发人员们可能将其禁用，进而产生一些安全问题。

“开发人员们能做的最重要的事情是记住基本的安全原则，例如所有用户的输入都应该被看作是不可信的这种思想”，Eng写到。“开发人员们应该学习HTML 5的新功能是如何工作的，以便理解在哪里他们容易做出错误的假设”。

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友