HTML5 podiže nove sigurnosne probleme

Kada je riječ o novoj sigurnosti pitanja, sigurnosni tim za Firefox preglednik ima novu verziju Web HyperText Markup Language, HTML5, prije svega na umu.

"Web aplikacije postaju nevjerojatno bogate HTML5-om. Preglednik počinje upravljati aplikacijama s punim otvorima a ne samo web stranice ", rekao je Sid Stamm, koji radi na Firefox sigurnosnim pitanjima za Mozilla Foundation. Stamm je govorio na Simpoziju za sigurnost Usenix koji se održao prošlog tjedna u Washingtonu

"Postoji mnogo površina napada koja treba razmisliti", rekao je.

Istog tjedna Stamm je izrazio zabrinutost zbog HTML5, programeri preglednika Opera bili su zauzeti popravljanjem ranjivosti prekoračenja međuspremnika koja bi se mogla iskoristiti pomoću značajke za slikanje HTML5 platna.

Je li neizbježno da je novi skup standarda za prikazivanje web stranica World Wide Web Consortium (W3C), zajednički poznat kao HTML5, dolazi s novim paketom ranjivosti? Najmanje neki sigurnosni istraživači misle da je to slučaj.

"HTML5 donosi puno mogućnosti i moć na webu. Sada možete učiniti mnogo više [zlonamjernog rada] s običnim HTML5 i JavaScriptom nego što je bilo moguće prije ", rekao je sigurnosni istraživač Lavakumar Kuppan.

W3C" usmjerava cijeli redizajn preko ideje da ćemo početi izvršavati aplikacije unutar preglednika, a tijekom godina smo dokazali kako su sigurni preglednici ", rekao je Kevin Johnson, penetration tester sa sigurnosnim konzultantskim poduzećem Secure Ideas. "Moramo se vratiti da razumijemo da je preglednik zlonamjeran okoliš. Izgubili smo to mjesto."

Iako je sam naziv specifikacije, HTML5 se često koristi za opisivanje zbirke labavo međusobno povezanih skupova standarda koji se, zajedno, mogu koristiti za izgradnju web aplikacija punopravnog. Oni nude mogućnosti poput oblikovanja stranice, izvanmrežne pohrane podataka, prikazivanja slika i drugih aspekata. (Iako nije W3C spec., JavaScript je također često povezan s tim standardima, tako da se široko koristi u izgradnji web aplikacija).

Sve ove nove predložene funkcionalnosti počinju istraživati ​​istraživači sigurnosti.

Ranije ovog ljeta, Kuppan i drugi istraživač objavili su način zlouporabe HTML5 Offline Application Cache. Google Chrome, Safari, Firefox i beta preglednik Opera sve su već implementirali ovu značajku i bili bi podložni napadima koji su koristili taj pristup, napomenuli su.

Istraživači tvrde da bi bilo koja web stranica mogla stvoriti predmemoriju korisničko računalo i, u nekim preglednicima, to bez izričitog odobrenja tog korisnika, napadač može postaviti lažnu stranicu za prijavu na web mjesto kao što je društveno umrežavanje ili web-lokacija e-trgovine.

Drugi istraživači bili su podijeljeni o vrijednosti ovog nalaza.

"To je zanimljivo skretanje, ali čini se da mrežnim napadačima ne nudi nikakvu dodatnu prednost osim onoga što je oni već mogu postići ", napisao je Chris Evans na mailing listu Full Disclosure. Evans je kreator softvera Very Secure File Transfer Protocol (vsftp).

Dan Kaminsky, glavni znanstvenik tvrtke za istraživanje sigurnosti Recursion Ventures, složio se da je taj rad nastavak napada koji su nastali prije HTML5. "Preglednici ne samo zahtijevaju sadržaj, to čine i bacaju ih, već ga pohranjuju za kasniju upotrebu … Lavakumar prati kako tehnologije za pohranjivanje podataka u narednoj generaciji imaju takvu osobinu", rekao je, u intervjuu e-mailu.

Kritičari su se složili da će se ovaj napad osloniti na web mjesto koje ne koristi Secure Sockets Layer (SSL) za šifriranje podataka između preglednika i poslužitelja web stranica, što se obično prakticira. No, čak i ako taj rad nije otkrio novu vrstu ranjivosti, to pokazuje da se stara ranjivost može ponovno koristiti u ovom novom okruženju.

Johnson kaže da, s HTML5, mnoge nove značajke predstavljaju samu prijetnju, zbog toga što povećavaju broj načina na koji napadač može iskoristiti korisničke preglednike kako bi štetio neku vrstu.

"Godinama se sigurnost usredotočila na ranjivostima - preljeva tampona, napada SQL injekcija, zakrčavamo ih, popravljamo ih, pratimo ih ", rekao je Johnson. No, u HTML5 slučaju, često su same značajke "koje se mogu koristiti za napad na nas", rekao je.

Kao primjer, Johnson upućuje na Googleov Gmail, koji je rani korisnik HTML5 lokalnih mogućnosti pohrane. Prije HTML5, napadač je možda morao ukrasti kolačiće sa stroja i dekodirati ih kako bi dobili lozinku za mrežnu uslugu e-pošte. Sada napadač treba samo pristupiti korisnikovom pregledniku, gdje Gmail priča kopiju pristigle pošte.

"Ovi skupovi značajki su zastrašujući", kazao je. "Ako mogu pronaći nedostatak u vašoj web aplikaciji i ubaciti HTML5 kod, mogu mijenjati vašu web-lokaciju i sakriti stvari koje ne želim da vidite."

Uz lokalnu pohranu, napadač može čitati podatke s vašeg preglednika, ili unesite druge podatke tamo bez vašeg znanja. Geolokacijom, napadač može odrediti vašu lokaciju bez vašeg znanja. S novom verzijom Cascading Style Sheets (CSS), napadač može kontrolirati elemente CSS-poboljšane stranice koju možete vidjeti. HTML5 WebSocket opskrbljuje mrežni komunikacijski stog na pregledniku koji bi se mogao zloupotrijebiti za potamnute sporedne komunikacije.

Ovo ne znači da proizvođači preglednika ne zanemaruju ovaj problem. Čak i kako rade na dodavanju potpore novim standardima, gledaju na načine kako bi spriječili njihovu zloupotrebu. Na usinskom simpoziju, Stamm je istaknuo neke od tehnika koje Firefox tim istražuje kako bi ublažio štetu koja bi mogla biti učinjena ovim novim tehnologijama.

Na primjer, rade na alternativnoj plug-in platformi, nazvanoj JetPack, koja držati čvršću kontrolu nad kojim će radnjama dodatak moći izvršiti. "Ako imamo potpunu kontrolu nad [sučeljem aplikacijskog programiranja], možemo reći:" Ovaj dodatak traži pristup Paypal.com, hoćeš li to dopustiti? ", Rekao je Stamm.

JetPack također može koristiti deklarativni sigurnosni model, u kojem dodatak mora prijaviti pregledniku svaku akciju koju namjerava poduzeti.

Ipak, hoće li proizvođači preglednika učiniti dovoljno za osiguranje HTML5 ostaju vidljivi, kritičari tvrde:

"Poduzeće mora početi procjenjivati ​​je li preglednik pregledao dodatak kako bi se osiguralo da ostaje unutar tih parametara. to vrijedi za te značajke da razotkriju nove preglednike ", rekao je Johnson. "Ovo je jedan od rijetkih slučajeva koji možete čuti" Znate, možda je [Internet Explorer] 6 bio bolji. "

Joab Jackson pokriva softverske programe i opće tehnološke vijesti za IDG News Service, Slijedite Joab na cvrkut na @Joab_Jackson. Joabova adresa e-pošte je [email protected]