A HTML5 új biztonsági kérdéseket vet fel

a Firefox böngésző biztonsági csapata a Web HyperText Markup Language új verziója, a HTML5, a legfontosabb az elme.

"A webes alkalmazások hihetetlenül gazdagok a HTML5-szel. A böngésző kezdi a teljes méretű alkalmazásokat kezelni és nem csak weboldalakat "- mondta Sid Stamm, aki a Firefox biztonsági kérdéseiben dolgozik a Mozilla Foundation számára. Stamm a Usenix biztonsági szimpóziumon beszélt, amelyet a múlt héten Washington DC-ben tartottak.

"Sok támadási felületre van szükségünk."

Ugyanezen a héten Stamm aggodalmát fejezte ki a HTML5-vel szemben, a fejlesztők Az Opera böngésző elfoglalta a puffer túlcsordulási sebezhetőséget, amely kihasználható a HTML5 vászonkép-megjelenítő funkció használatával.

Elkerülhetetlen, hogy a World Wide Web Consortium (W3C) új, a weboldalak megjelenítésére szolgáló szabványkészlete, mint a HTML5, egy teljesen új csomagot jelentenek a sebezhetőségekkel kapcsolatban? Legalábbis néhány biztonsági kutató úgy gondolja, ez a helyzet.

"A HTML5 számos funkciót és energiát hoz a weben. Most sokkal több [rosszindulatú munkát] csinálhat egyszerű HTML5 és JavaScript segítségével, mint bármikor lehetséges "- mondta a biztonsági kutató, Lavakumar Kuppan.

A W3C" átgondolta ezt az egész újratervezést arra az ötletre, hogy elkezdjük végrehajtani az alkalmazásokat a böngészőn belül, és az évek során bizonyítottuk, hogy biztonságos böngészők "- mondta Kevin Johnson, egy penetrációs tesztelő a Secure Ideas biztonsági tanácsadó céggel. "Vissza kell térnünk annak megértéséhez, hogy a böngésző egy rosszindulatú környezet, ezért elvesztettük ezt a helyet."

Habár a specifikáció neve önmagában is, a HTML5-t gyakran használják egy laza egymással összefüggő készlet amelyek együttesen alkalmazhatók teljes körű webes alkalmazások létrehozására. Olyan képességeket kínálnak, mint az oldalformázás, az offline adattárolás, a megjelenítés és egyéb szempontok. (Noha nem W3C-specifikus, a JavaScript is gyakran szerepel ezeken a szabványokon, ezért széles körben használják az internetes alkalmazások építésében.)

A biztonsági kutatók mindezt új, javasolt funkciókat kezdik feltárni., Kuppan és egy másik kutató kifogásolta a HTML5 Offline Application Cache használatát. A Google Chrome, a Safari, a Firefox és az Opera böngésző béta már végrehajtotta ezt a funkciót, és sebezhető lenne a támadásokkal szemben, amelyek ezt a megközelítést alkalmazták.

A kutatók azzal érvelnek, hogy mivel bármely weboldal gyorsítótárat hozhat létre a felhasználó számítógépét, és bizonyos böngészőkben a felhasználó kifejezett engedélye nélkül, a támadó egy hamis bejelentkezési oldalt állíthat be egy olyan webhelyre, mint például a közösségi hálózat vagy az e-kereskedelmi webhely. Ezt a hamis oldalt fel lehetne használni a felhasználó hitelesítéseinek ellopásához.

Más kutatók megosztottak voltak a találatok értékével.

"Ez egy érdekes csavar, de nem tűnik úgy, hogy a hálózati támadóknak bármilyen további előnye meghaladná már elérhetik "- írta Chris Evans a Full Disclosure levelezési listájára. Evans a Very Secured File Transfer Protocol (vsftp) szoftver készítője.

Dan Kaminsky, a biztonsági kutató cég Recursion Ventures vezető kutatója egyetértett azzal, hogy ez a munka a HTML5 előtt kifejlesztett támadások folytatása. "A böngészők nem csak tartalmat kérnek, teszik meg és dobják el, hanem később is tárolják … Lavakumar megfigyeli, hogy a következő generációs gyorsítótárazási technológiák ugyanazt a tulajdonságot élvezik" - mondta, egy e-mail interjúban.

A kritikusok egyetértettek abban, hogy ez a támadás olyan webhelyre támaszkodik majd, amely nem használja a Secure Sockets Layer (SSL) protokollt az adatok titkosítására a böngésző és a weblap-szerver között, ami általánosan alkalmazott. De még akkor is, ha ez a munka nem jelent meg egy új típusú biztonsági rést, azt mutatja, hogy egy régi sérülékenység újra felhasználható ebben az új környezetben.

Johnson azt mondja, hogy a HTML5-vel számos új funkciója önmagában fenyegetést jelent, mivel növeli azok számát, amelyekkel a támadó használhatja a felhasználó böngészőjét, hogy valamilyen módon kárt okozzon.

a sebezhetőségekről - puffer túlcsordulásokról, SQL injekciós támadásokról, javításokról, javításokról, megfigyelésükről - folytatta Johnson. De a HTML5 esetében gyakran maguk a funkciók "használhatók támadni nekünk", mondja.

Például Johnson utal a Google Gmail-jére, amely a HTML5 helyi tárolási lehetőségeinek korai felhasználója. A HTML5 előtt a támadónak le kellett volna lopnia a cookie-kat a gépről, és dekódolni kellett őket, hogy megkaphassák az online e-mail szolgáltatáshoz tartozó jelszót. Most a támadónak csak be kell lépnie a felhasználó böngészőjébe, ahol a Gmail a beérkező levelek egy példányát olvassa be.

"Ezek a funkciók megrémisztelnek" - mondta. "Ha találok hibát a webes alkalmazásban, és megadom a HTML5 kódot, módosíthatom webhelyét, és elrejtsek azokat a dolgokat, amelyeket nem akarok látni."

A helyi tároló segítségével a támadó képes adatokat olvasni a böngészőből, vagy más adatok beillesztése ott a tudta nélkül. A geolocation segítségével a támadó meghatározhatja az Ön helyét az Ön tudta nélkül. A Cascading Style Sheets (CSS) új verziójával a támadó ellenőrizheti, hogy a CSS által továbbfejlesztett oldal mely elemei láthatók. A HTML5 WebSocket egy hálózati kommunikációs csomagot szállít a böngészőhöz, amelyet visszaélésszerűen használhatunk titkos támadási kommunikációhoz.

Ez nem jelenti azt, hogy a böngészők nem ismerik ezt a problémát. Annak ellenére, hogy az új szabványok támogatására törekszenek, megpróbálják megakadályozni a visszaélésüket. A Usenix szimpóziumban Stamm megismerkedett néhány olyan technikával, amelyet a Firefox csapata az új technológiákkal megteendő károk enyhítésére törekszik.

Például egy alternatív plug-in platformon (JetPack) dolgoznak, amely továbbra is szigorúbban ellenőrizni fogja, hogy milyen műveletek végrehajthatók a plug-inek. "Ha teljes mértékben ellenőrizzük az [alkalmazásprogramozási felületet], tudjuk mondani:" Ez a kiegészítő a hozzáférést kérte a Paypal.com-hoz, engedélyezze? "Stamm azt mondta.

A JetPack is használhatja egy deklaratív biztonsági modell, amelyben a plug-innek be kell jelentenie a böngészőnek minden intézkedést, amelyet vállalnia kíván. A böngésző ezután figyelemmel kíséri a plug-inet annak biztosítására, hogy ezekben a paraméterekben maradjon.

Mégis, hogy a böngészők meg tudják-e csinálni a HTML5 biztonságát, a kritikusok továbbra is látni fogják.

"A vállalkozásnak meg kell kezdenie értékelni, érdemes ezeket a funkciókat kijavítani az új böngészők, "mondta Johnson. "Ez egyike azon kevés alkalmaknak, amelyekről hallhatsz" Tudja, hogy talán [Internet Explorer] 6 jobb volt. "

Joab Jackson a vállalati szoftvereket és az általános technológiai hírleveleket a Az IDG News Service. Kövesse Joabot a Twitteren a @Joab_Jackson-on. Joab e-mail címe [email protected]