2022-03-28 分類: 網(wǎng)站建設(shè)
HTML5給開(kāi)發(fā)人員帶來(lái)了新的安全挑戰(zhàn)。蘋(píng)果公司與Adobe公司之間的口水戰(zhàn)帶來(lái)對(duì)HTML 5命運(yùn)的諸多猜測(cè),盡管HTML 5的實(shí)現(xiàn)還有很長(zhǎng)的路要走,但可以肯定的一點(diǎn)是,運(yùn)用HTML 5的開(kāi)發(fā)人員將需要為應(yīng)用程序安全開(kāi)發(fā)生命周期部署新的安全功能以應(yīng)對(duì)HTML5帶來(lái)的安全挑戰(zhàn)。那么HTML5將會(huì)對(duì)我們需要覆蓋的攻擊面帶來(lái)怎樣的影響?本文將探討關(guān)于HTML 5幾個(gè)重要安全問(wèn)題。
一、客戶端存儲(chǔ)
早期版本的HTML僅允許網(wǎng)站將cookies作為本地信息存儲(chǔ),而這些空間相對(duì)較小,僅適用于存儲(chǔ)簡(jiǎn)單的檔案信息或者作為存儲(chǔ)在其他位置的數(shù) 據(jù)(例如會(huì)話ID)的標(biāo)識(shí)符,Denim集團(tuán)應(yīng)用程序安全研究部門(mén)的主管Dan Cornell表示。然而,HTML5 LocalStorage則允許瀏覽器本地存儲(chǔ)大量據(jù)庫(kù),允許使用新類型應(yīng)用程序。
“隨之而來(lái)的風(fēng)險(xiǎn)就是,敏感數(shù)據(jù)可能被存儲(chǔ)在本地用戶工作站,而物理訪問(wèn)或者破壞該工作站的攻擊者,就能夠輕松獲得敏感數(shù)據(jù),”Cornell 表示,“這對(duì)于使用共享計(jì)算機(jī)的用戶更加危險(xiǎn)?!?/p>
“從定義上來(lái)說(shuō),它真的只是能夠在客戶端系統(tǒng)存儲(chǔ)信息,”Rapid7公司的安全研究人員Josh Abraham表示,“那么你就具備基于客戶端SQL注入攻擊的潛在能力,或者可能你的某個(gè)客戶端的數(shù)據(jù)庫(kù)是惡意的,當(dāng)與生產(chǎn)系統(tǒng)同步時(shí),則可能出現(xiàn)同步 問(wèn)題,或者客戶端的潛在惡意數(shù)據(jù)將被插入到生產(chǎn)系統(tǒng)?!?/p>
為了解決這個(gè)問(wèn)題,開(kāi)發(fā)人員需要能夠驗(yàn)證數(shù)據(jù)是否為惡意的,這其實(shí)是個(gè)很復(fù)雜的問(wèn)題。
對(duì)于這個(gè)問(wèn)題的重要性并不是所有人都贊同。Veracode公司首席技術(shù)官Chris Wysopal表示,例如web應(yīng)用程序通過(guò)使用插件或者瀏覽器擴(kuò)展存儲(chǔ)數(shù)據(jù)客戶端就一直存在很多方法。
“有很多已知的方法可以操控目前部署的HTML5 SessionStorage屬性,但是標(biāo)準(zhǔn)最終確定時(shí),這個(gè)問(wèn)題才會(huì)解決,”Wysopal表示。
二、跨域通信
而其他版本的HTML可能直允許JavaScript發(fā)出XML HTTP請(qǐng)求調(diào)用回原來(lái)的服務(wù)器,而HTML5放寬了這個(gè)限制,XML HTTP請(qǐng)求可以發(fā)送給任何允許這種請(qǐng)求的服務(wù)器。當(dāng)然,如果服務(wù)器不可信任的話,這也會(huì)帶來(lái)嚴(yán)重安全問(wèn)題。
“例如,我可以建立一個(gè)mashup(糅合,將兩種以上使用公共或者私有數(shù)據(jù)庫(kù)的web應(yīng)用合并形成一個(gè)整合應(yīng)用)通過(guò) JSON(Javascript Object Notation)將第三方網(wǎng)站的比賽比分拉過(guò)來(lái),”Cornell表示,“這個(gè)網(wǎng)站可能會(huì)發(fā)送惡意數(shù)據(jù)到我的用戶瀏覽器正在運(yùn)行的應(yīng)用程序上。雖說(shuō) HTML5允許新類型的應(yīng)用程序的建立,但如果開(kāi)發(fā)人員在開(kāi)始使用這些功能時(shí),并不理解他們所建立的應(yīng)用程序的安全意義,那么將會(huì)給用戶帶來(lái)很大安全風(fēng)險(xiǎn)?!?/p>
對(duì)于依賴于PostMessage()來(lái)編寫(xiě)應(yīng)用程序的開(kāi)發(fā)人員而言,必須仔細(xì)檢查以確保信息是來(lái)源于他們自己的網(wǎng)站,否則來(lái)自其他網(wǎng)站的惡意 代碼可能會(huì)制造惡意信息,Wysopal補(bǔ)充說(shuō)。這個(gè)功能本身并不是安全的,開(kāi)發(fā)人員已經(jīng)開(kāi)始使用不同的DOM(文檔對(duì)象模型)/瀏覽器功能來(lái)效仿跨域通訊。
另一個(gè)相關(guān)問(wèn)題是,萬(wàn)維網(wǎng)聯(lián)盟目前為跨源資源共享設(shè)計(jì)提供了一種使用類似與跨域機(jī)制繞過(guò)同源政策的方法。
“IE部署的安全功能與Firefox、Chrome以及Safari都不相同,”他指出,“開(kāi)發(fā)人員需要確保他們創(chuàng)建過(guò)于寬松訪問(wèn)控制列表的 危害,特別是因?yàn)槟承﹨⒖即a目前非常不安全。
三、Iframe安全
從安全角度來(lái)看,HTML5也有不錯(cuò)的功能,例如計(jì)劃支持iframe的沙盒屬性。
“這個(gè)屬性將允許開(kāi)發(fā)者選擇數(shù)據(jù)如何解譯的方式,”Wysopal表示,“不幸的是,與大部分HTML一樣,這個(gè)設(shè)計(jì)很可能被開(kāi)發(fā)人員誤解,很 可能因?yàn)椴槐阌谑褂枚婚_(kāi)發(fā)人員禁用。如果處理得當(dāng),這個(gè)功能將能夠幫助抵御惡意第三方廣告或者防止不可信任內(nèi)容重放。”
新聞名稱:HTML5要牢記的安全問(wèn)題
文章網(wǎng)址:http://www.rwnh.cn/news19/145069.html
成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供全網(wǎng)營(yíng)銷推廣、ChatGPT、網(wǎng)站導(dǎo)航、面包屑導(dǎo)航、網(wǎng)站排名、網(wǎng)站設(shè)計(jì)
聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請(qǐng)盡快告知,我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如需處理請(qǐng)聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來(lái)源: 創(chuàng)新互聯(lián)
猜你還喜歡下面的內(nèi)容