扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
谈到安全问题,火狐浏览器安全团队首先对新版网络超文本标记语言HTML5有看法。
为Mozilla基金会研究火狐安全问题的Sid Stamm上星期在华盛顿举行的Usenix安全研讨会上说,使用HTML5将使Web应用程序越来越丰富。浏览器正在开始管理十足的应用程序,而不仅仅是网页。
他说,我们需要考虑许多刚出现的攻击。
Stamm在上星期表示了对HTML5的担心。Opera浏览器开发人员正在忙于修复一个缓存溢出安全漏洞。使用HTML5油画图像处理功能可以利用这个安全漏洞。
万维网联盟为处理网页制定的一套新标准(也就是HTML5)出现全新的安全漏洞是不可避免的吗?至少一些安全研究人员认为是如此。
安全研究人员Lavakumar Kuppan说,HTML5给Web带来了许多功能和能力。黑客现在使用简单的HTML5和Java脚本能够做更多的恶意工作。这些恶意工作以前是不可能做到的。
安全咨询公司Secure Ideas的渗透测试人员Kevin Johnson说,万维网联盟重新设计这个标准完全是基于在浏览器中执行应用程序这样一种考虑,而多年来我们已经证实了浏览器的安全性是怎么样的。我们必须回过头来理解浏览器是一个恶意的环境。我们忘记了这个问题。
虽然HTML5本身是一个技术规范的名称,但是,HTML5还经常用来解释一套松散的相互关联的标准。这些标准组合在一起能够创建功能齐全的Web应用程序。这些应用程序可提供网页格式化、离线数据存储、图像处理等功能。(JavaScript尽管不是万维网联盟的技术规范,但也经常被看成是这些标准,因此被广泛用于构建Web应用程序)。
安全研究人员正在开始研究所有这些新提出的功能。
今年夏季早些时候,Kuppan和另外一位安全研究人员发布了一个滥用HTML5离线应用程序缓存的方法。他们说,谷歌Chrome、Safari、火狐和Opera测试版等浏览器都已经采用了这种功能,都容易受到使用这种方法进行的攻击。
研究人员争辩说,因为任何Web网站都能在用户的计算机上创建高速缓存,而在某些浏览器上,这样做是没有经过用户批准的,因此,攻击者可以制作假冒的登录网页链接到社交或者电子商务网站。这样,假冒的网页就可以用来窃取用户的证书。
其他研究人员对这个研究结果的价值意见不一。
vsftp(非常保密文件传输协议)软件开发者Chris Evans在“全面披露”邮件列表中写道,这是一个有趣的曲解,但是,它似乎不能向网络攻击者提供任何他们现在所没有的额外的优势。
安全研究公司Recursion Ventures的首席科学家Dan Kaminsky同意这个观点。他说,这种做法是在HTML5之前就已经出现的攻击的继续。浏览器不仅请求内容,呈现内容,抛弃内容,浏览器还存储内容以便以后使用。Lavakumar在电子邮件采访中说,他认为,下一代缓存技术将有同样的特征。
批评人士一致认为,这种攻击将依赖于网站不使用安全套阶层(SSL)来加密浏览器与网站网页服务器之间的数据。这是一种常见的做法。但是,即使这种做法不能暴露一种新的安全漏洞类型,它也确实表明在这个新的环境中可以重新利用老的安全漏洞。
Johnson说,使用HTML5,许多新功能本身就构成了威胁,因为这项功能增加了攻击者利用用户的浏览器做坏事的方法。
Johnson说,多年以来,安全工作一直把重点放在漏洞方面,如缓冲区溢出、SQL注入攻击等。我们修复安全漏洞并且监视安全漏洞。但是,在使用HTML5的情况下,经常是功能本身可以用来对我们实施攻击。
Johnson举例说,谷歌的Gmail是HTML5的本地存储功能的一个早期应用者。在HTML5之前,攻击者也许必须要从一台PC窃取Cookies,然后破解它们的代码以获取在线电子邮件服务的口令。现在,攻击者只需要访问用户的浏览器,Gmail把收件箱的副本保存在了浏览器中。
Johnson说,这些功能集是很可怕的。如果我能在你的Web应用程序中发现一个安全漏洞并且注入HTML5代码,我就能够修改你的网站并且隐藏我不想让你看到的东西。
通过本地存储,攻击者能够读取你的浏览器的数据或者在你不知情的情况下向那里注入其它数据。通过地理位置,攻击者能够在你不知情的情况下确定你的位置。通过新版层叠样式表(CSS),攻击者能够控制你可以看到的CSS增强网页的元素。HTML5的WebSocket向浏览器提供网络通信堆栈,这有可能被滥用作秘密的后门通信。
这并不是说浏览器制造商无视这个问题。即使在他们努力增加对这个新标准的支持的时候,他们仍在寻求一些方法避免滥用这个标准。在Usenix研讨会上,Stamm指出火狐团队正在探索一些技术来缓解这些新技术可能造成的损害。
例如,他们正在开发一种替代的插件平台JetPack,以严格控制一个插件可以执行的行动。Stamm说,如果我们能够完全控制这个应用程序编程接口,我们就可以说“这个插件正在申请访问Paypal.com网站,你允许它访问吗?”。
JetPack也许还使用一种声明安全模式。在这种模式中,插件必须向浏览器声明它打算采取的每一个行动。然后,浏览器监视这个插件以保证其保持在适当范围内。
不过,批评人士认为,浏览器厂商是否采取足够的安全措施保证HTML5的安全还有待观察。
Johnson说,企业必须开始评估这些功能是否值得推出新的浏览器。也许这是你很少听到的答复之一:“也许IE 6会更好”。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者