HTML5 podnosi nowe problemy z bezpieczeństwem

Jeśli chodzi o nowe bezpieczeństwo problemy, zespół bezpieczeństwa przeglądarki Firefox ma nową wersję Web HyperText Markup Language, HTML5, przede wszystkim w umyśle

"Aplikacje internetowe stają się niesamowicie bogate dzięki HTML5 Przeglądarka zaczyna zarządzać aplikacjami pełnoprawnymi a nie tylko strony internetowe "- powiedział Sid Stamm, który pracuje nad kwestiami bezpieczeństwa Firefoksa dla Mozilla Foundation. Stamm mówił podczas Sympozjum Bezpieczeństwa Usenix, które odbyło się w zeszłym tygodniu w Waszyngtonie

"Jest dużo miejsca do ataku, o którym musimy pomyśleć", powiedział.

W tym samym tygodniu Stamm wyraził obawy o HTML5, programistów przeglądarki Opera były zajęte naprawieniem luki w zabezpieczeniach polegającej na przepełnieniu bufora, którą można wykorzystać za pomocą funkcji renderowania obrazu HTML5.

Czy jest nieuniknione, że nowy zestaw standardów sieciowych do renderowania stron WWW jest znany w World Wide Web Consortium (W3C)? jako HTML5, masz nowy pakiet luk? Przynajmniej niektórzy analitycy bezpieczeństwa myślą, że tak właśnie jest.

"HTML5 oferuje wiele funkcji i mocy w Internecie. Możesz teraz zrobić o wiele więcej [złośliwą pracę] za pomocą zwykłego HTML5 i JavaScript, niż było to możliwe wcześniej, "powiedział badacz ds. bezpieczeństwa Lavakumar Kuppan.

W3C" przygotowuje cały ten przeprojektowany pomysł, że zaczniemy wykonywać aplikacje w przeglądarce, a od lat sprawdziliśmy, jak bezpieczne są przeglądarki ", powiedział Kevin Johnson, tester penetracji z firmą doradczą ds. bezpieczeństwa Secure Ideas. "Musimy wracać do zrozumienia, że ​​przeglądarka jest złośliwym środowiskiem, straciliśmy tę stronę."

Chociaż sama nazwa specyfikacji, HTML5 jest często używany do opisania zbioru luźno powiązanych ze sobą zestawów standardów, które łącznie można wykorzystać do budowy pełnowartościowych aplikacji internetowych. Oferują takie funkcje, jak formatowanie strony, przechowywanie danych w trybie offline, odtwarzanie obrazów i inne aspekty. (Chociaż nie jest to specyfikacja W3C, JavaScript jest również często łączony z tymi standardami, tak szeroko wykorzystywanymi w budowaniu aplikacji internetowych).

Wszystkie nowe proponowane funkcje zaczynają być badane przez badaczy bezpieczeństwa.

Wcześniej tego lata, Kuppan i inny badacz zamieścili sposób na wykorzystanie pamięci podręcznej aplikacji HTML5 offline. Google Chrome, Safari, Firefox i wersja beta przeglądarki Opera już zaimplementowały tę funkcję i będą podatne na ataki wykorzystujące to podejście, zauważyli.

Naukowcy twierdzą, że ponieważ każda witryna internetowa może utworzyć pamięć podręczną na na komputerze użytkownika, a w niektórych przeglądarkach robi to bez wyraźnej zgody tego użytkownika, osoba atakująca może skonfigurować fałszywą stronę logowania do witryny takiej jak serwis społecznościowy lub sklep internetowy. Taka fałszywa strona mogłaby być następnie wykorzystana do kradzieży danych uwierzytelniających użytkownika.

Inni badacze zostali podzieleni co do wartości tego odkrycia.

"To interesujący zwrot, ale nie wydaje się, aby oferować napastnikom sieci dodatkowe korzyści mogą już to osiągnąć - napisał Chris Evans na liście dyskusyjnej Full Disclosure. Evans jest twórcą oprogramowania Very Secure File Transfer Protocol (vsftp).

Dan Kaminsky, główny naukowiec z firmy badawczej zajmującej się bezpieczeństwem, Recursion Ventures, zgodził się, że ta praca jest kontynuacją ataków opracowanych przed HTML5. "Przeglądarki nie żądają tylko treści, renderują go i wyrzucają, przechowują też na później … Lavakumar zauważa, że ​​technologie buforowania następnej generacji mają tę samą cechę", powiedział w wywiadzie e-mailowym.

Krytycy zgodzili się, że ten atak będzie polegać na witrynie, która nie używa Secure Sockets Layer (SSL) do szyfrowania danych między przeglądarką a serwerem stron WWW, co jest powszechnie praktykowane. Ale nawet jeśli ta praca nie wykryje nowego rodzaju luki, pokazuje, że stara luka może zostać ponownie użyta w tym nowym środowisku.

Johnson twierdzi, że w przypadku HTML5 wiele nowych funkcji stanowi zagrożenie samo w sobie, ze względu na sposób, w jaki zwiększają one liczbę sposobów, w jakie atakujący może wykorzystać przeglądarkę użytkownika, aby wyrządzić jakąś krzywdę.

"Od wielu lat koncentruje się na bezpieczeństwie o lukach w zabezpieczeniach - przepełnienie bufora, ataki SQL injection, naprawiamy je, monitorujemy, "mówi Johnson. Ale w przypadku HTML5 często same funkcje "mogą być użyte do ataku na nas", powiedział.

Jako przykład, Johnson wskazuje na Gmail Google'a, który jest wczesnym użytkownikiem możliwości lokalnego przechowywania danych HTML5. Przed HTML5 osoba atakująca mogła wykraść pliki cookie z komputera i odkodować je, aby uzyskać hasło do usługi e-mail online. Teraz atakujący musi tylko wejść do przeglądarki użytkownika, gdzie Gmail opisze kopię skrzynki odbiorczej.

"Te zestawy funkcji są przerażające" - powiedział. "Jeśli uda mi się znaleźć lukę w twojej aplikacji internetowej i wstrzyknąć kod HTML5, mogę zmodyfikować twoją witrynę i ukryć rzeczy, których nie chcę, abyś zobaczył."

Za pomocą pamięci lokalnej osoba atakująca może odczytać dane z przeglądarki lub wstaw tam inne dane bez twojej wiedzy. W przypadku geolokalizacji osoba atakująca może określić Twoją lokalizację bez Twojej wiedzy. Dzięki nowej wersji Cascading Style Sheets (CSS) atakujący może kontrolować elementy strony z rozszerzonymi CSS, które możesz zobaczyć. HTML5 WebSocket dostarcza do przeglądarki stos komunikacji sieciowej, który mógłby zostać wykorzystany do ukrytej komunikacji z backdoorem.

Nie oznacza to, że twórcy przeglądarek nie zauważają tego problemu. Nawet gdy pracują nad dodaniem wsparcia dla nowych standardów, szukają sposobów, aby zapobiec ich niewłaściwemu użyciu. Podczas sympozjum "Usenix" Stamm zauważył niektóre techniki, które eksploruje zespół Firefoksa, aby złagodzić szkody, jakie można osiągnąć dzięki tym nowym technologiom.

Na przykład pracują nad alternatywną platformą wtyczek o nazwie JetPack, która utrzymywałaby ściślejszą kontrolę nad działaniami wykonywanymi przez wtyczkę. "Jeśli mamy pełną kontrolę nad [interfejsem programowania aplikacji], możemy powiedzieć:" Ten dodatek wymaga dostępu do serwisu Paypal.com, czy pozwolisz na to? ", Powiedział Stamm.

JetPack może również używać deklaratywny model bezpieczeństwa, w którym wtyczka musi deklarować przeglądarce każde działanie, które zamierza podjąć. Przeglądarka będzie wtedy monitorować wtyczkę, aby upewnić się, że pozostanie ona w tych parametrach.

Nadal nie wiadomo, czy twórcy przeglądarek mogą zrobić wystarczająco dużo, aby zabezpieczyć HTML5, krytykują.

"Przedsiębiorstwo musi rozpocząć ocenę, czy warto te funkcje wprowadzić do nowych przeglądarek "- powiedział Johnson. "Jest to jedna z niewielu sytuacji, w których możesz usłyszeć" Wiesz, może [Internet Explorer] 6 był lepszy. ""

Joab Jackson opisuje oprogramowanie dla przedsiębiorstw i ogólne nowości technologiczne dla Serwisu IDG News. Śledź Joaba na Twitterze na @Joab_Jackson. Adres e-mail Joaba to [email protected]