HTML5 luo uusia turvallisuuskysymyksiä

ongelmat, Firefox-selaimen tietoturvaryhmällä on uusi Web-HyperText-merkintäkielen uusi versio, HTML5, ennen kaikkea mielessään.

"Web-sovellukset ovat tulossa entistä runsaammin HTML5: llä. eikä vain verkkosivuja ", kertoi Sid Stamm, joka työskentelee Mozilla-säätiön Firefox-tietoturva-asioissa. Stamm puhui viime viikolla Washington DC: ssä pidetyssä Usenix Security Symposiumissa

"On paljon hyökkäyspinta, josta meidän on ajateltava."

Samalla viikolla Stamm ilmaisi huolensa HTML5: sta, kehittäjät Opera-selaimella oli kiireinen korjaus puskurin ylivuoto -haavoittuvuuteen, jota voitaisiin hyödyntää HTML5-kankaaseen liittyvän kuvankäsittelyominaisuuden avulla.

Onko väistämätöntä, että WWW-sivujen esittämiseen käytettävät WWW-sivujen julkaisemisen uudet standardit (W3C) kuten HTML5, tulevat täysin uudella haavoittuvuudella? Ainakin jotkut tietoturva-asiantuntijat ajattelevat, että näin on.

"HTML5 tuo paljon ominaisuuksia ja valtaa verkkoon. Voit tehdä niin paljon enemmän [haitallista työtä] tavallisella HTML5: llä ja JavaScriptillä nyt kuin koskaan ennen ", sanoo tietoturva-tutkija Lavakumar Kuppan.

W3C" suunnittelee tämän koko uudelleensuunnittelun yli ajatukselle, että aloitamme sovellusten selaimen käytön ja olemme vuosien mittaan osoittaneet, kuinka turvalliset selaimet ovat ", sanoo Kevin Johnson, tunkeutumisenestoturvallisuusalan turvallisuusalan konsulttiyritys Secure Ideas. "Meidän on palattava ymmärtämään, että selain on haitallinen ympäristö. Olemme menettäneet tämän sivuston."

Vaikka se on nimenomaan erittely itsessään, HTML5 käytetään usein kuvaamaan kokoelma löyhästi toisiinsa standardeja, joita yhdessä voidaan käyttää rakentamaan täysimittaisia ​​web-sovelluksia. Ne tarjoavat ominaisuuksia, kuten sivun muotoilu, offline-tietojen tallennus, kuvanlähetys ja muut näkökohdat. (Vaikka W3C-spec: ei olekaan, JavaScript on myös usein puskuroitu näissä standardeissa, joten sitä käytetään laajalti Web-sovellusten rakentamisessa.)

Kaikki tämä uusi ehdotettu toiminto on alkanut tutkia turvallisuustutkijoita., Kuppan ja toinen tutkija lähettivät tapaa väärinkäyttää HTML5 Offline Application Cache -ohjelmaa. Google Chrome, Safari, Firefox ja Opera-selain beta ovat jo toteuttaneet tämän ominaisuuden ja olisivat alttiina hyökkäyksille, jotka käyttivät tätä lähestymistapaa. He huomauttivat, että jokainen verkkosivusto voi luoda välimuistin käyttäjän tietokoneella ja tietyissä selaimissa, niin ilman hyökkääjän nimenomaista lupaa, hyökkääjä voi luoda väärän sisäänkirjautumissivun sivustoon, kuten sosiaaliseen verkostoon tai sähköiseen kaupankäyntiin.

Muut tutkijat jakautuivat tämän löydöksen arvosta.

"Se on mielenkiintoinen kierre, mutta se ei näytä tarjoavan verkko hyökkääjille mitään muuta etua kuin mitä he voivat jo saavuttaa, "Chris Evans kirjoitti Full Disclosure -postilistalle. Evans on Very Secured File Transfer Protocol (vsftp) -ohjelmiston luoja.

Tietoturvayrityksen Recursion Venturesin pääketurvayritys Dan Kaminsky sopi, että tämä työ on jatkoa HTML5: lle kehitettyjen hyökkäysten jatkumiselle. "Selaimet eivät vain pyydä sisältöä, tekevät siitä ja hylkäävät sen, vaan säilyttävät sen myöhempää käyttöä varten … Lavakumar seuraa, että seuraavan sukupolven välimuistitekniikat kärsivät samoista piirteistä", hän sanoi, sähköpostin haastattelussa.

Kriitikot sopivat, että tämä hyökkäys luottaisi sivustoon, jossa ei käytetä Secure Sockets Layer (SSL) salaamaan tietoja yleisesti käytetyn selaimen ja verkkosivun palvelimen välillä. Mutta vaikka tämä työ ei paljastanut uudenlaista haavoittuvuutta, se osoittaa, että vanhaa haavoittuvuutta voidaan käyttää uudessa ympäristössä.

Johnson sanoo, että HTML5: n avulla monet uudet ominaisuudet muodostavat itsenäisesti uhkia, koska ne lisäävät kuinka monta tapaa hyökkääjä pystyy hyödyntämään käyttäjän selaimen tekemättä jonkinlaista haittaa.

"Vuosien ajan turvallisuus on keskittynyt haavoittuvuuksista - puskurin ylivuotoista, SQL-injektio-iskuista. Me korjaamme ne, korjaamme ne ja seuraamme niitä ", Johnson sanoi. Mutta HTML5: n tapauksessa usein se on ominaisuuksia, "joita voidaan käyttää hyökkäämään meihin", hän sanoi.

Esimerkkinä Johnson viittaa Googlen Gmailiin, joka on HTML5: n paikallisten tallennusominaisuuksien aikaisin käyttäjä. Ennen HTML5: tä hyökkääjä on joutunut varastamaan evästeet koneesta ja dekoodata heidät saamaan salasanan online-sähköpostipalveluun. Hyökkääjän on vain päästävä sisään käyttäjän selaimeen, jossa Gmail kertoo kopion saapuneesta postilaatikosta.

"Nämä ominaisuudet ovat pelottavia", hän sanoi. "Jos löydän virheen Web-sovelluksessasi ja pistän HTML5-koodin, voin muokata sivustosi ja piilottaa asioita, joita en halua nähdä."

Paikallisen tallennustilan avulla hyökkääjä voi lukea tietoja selaimestasi, tai lisää muita tietoja sinne ilman tietosi. Geolokaation avulla hyökkääjä voi määrittää sijaintisi ilman tietosi. Uuden Cascading Style Sheets (CSS) -version avulla hyökkääjä voi hallita mitä CSS-parannetun sivun elementtejä näet. HTML5 WebSocket toimittaa selaimelle verkkoviestinnän pinoa, jota voidaan käyttää väärin takaporttiviestinnässä.

Tämä ei tarkoita sitä, että selaimen tekijät ovat unohtaneet tämän ongelman. Vaikka ne pyrkivät lisäämään uusien standardien tukemista, he katsovat keinoja estää niiden väärinkäyttö. Stamm tapasi Usenix-symposiumin eräistä tekniikoista, joita Firefox-tiimi tutkii vähentääkseen näiden uusien tekniikoiden aiheuttamia vahinkoja.

He esimerkiksi työskentelevät vaihtoehtoisella plug-in-alustalla nimeltä JetPack, joka pitäisivät tiukemman hallinnan siitä, mitä toimintoja plug-in voisi toteuttaa. "Jos meillä on täydellinen määräysvalta [sovellusohjelmointirajapinta], voimme sanoa, että tämä lisäosa pyytää Accessin Paypal.com-palvelua, sallisitko sen?" "Stamm sanoi.

JetPack voi myös käyttää selittävä varmuusmalli, jossa laajennuksen on ilmoitettava selaimelle jokaisesta toiminnosta, jonka se aikoo toteuttaa.

Vaikka selainpäälliköt voisivat tehdä tarpeeksi HTML5: n suojaamiseksi, kriitikot väittävät, että

"Yrityksen on aloitettava arvioimalla, onko nämä ominaisuudet on syytä kuroa uudet selaimet ", Johnson sanoi. "Tämä on yksi harvoista kerroista, joita kuulee" Tiedät, että ehkä [Internet Explorer] 6 oli parempi. ""

Joab Jackson kattaa yritysohjelmistot ja yleiset teknologiat uutiset

IDG News Service

. Seuraa Joab Twitterissä osoitteessa @Joab_Jackson. Joabin sähköpostiosoite on [email protected]