Другие новости

Устали от дыр безопасности в Adobe Flash? В HTML5 они тоже есть.

09.08.2015 | 17:23 Аналитика

Веб-браузеры и технологии HTML5 принесли свои слабые стороны в мир интернет-приложений

HTML5 был объявлен как естественный, основанный на стандартах, преемник проприетарных плагинов, таких как Adobe Flash Player, обеспечивающий работу разообразных мультимедийных сервисов в Интернете. Однако когда речь заходит о безопасности, она является основным слабым местом Flash, при этом HTML5 не является панацеей.

Стандарт HTML5 имеет собственные проблемы с безопасностью. Жюльен Белланджер, генеральный директор компании мониторига безопасности приложений Prevoty, говорит, что в HTML5 безопасность стала более сложной. Безопасность HTML5 находилась под вопросом в течение многих лет, а в последнее время ситуация не улучшилась, говорит он.

Среди рисков, которые добавил HTML5:

• Эксплойт Canvas-изображения, который может вызвать переполнение буфера, и хакер может использовать введение кода в течении сессии.

• Межсайтовый скриптинг, при котором злоумышленники могут украсть информацию из браузера во время сессии.

• SQL-инъекции, когда вредоносный запрос используется для извлечения информации из базы данных браузера.

• Подделка межсайтового запроса, когда используется маркер пользователя, идентифицирующий его в Интернете.

Использование HTML5 также раскрывает более детальную информацию – что находится на компьютере или на мобильном устройстве: локальная память и местоположение устройств, говорит Дэн Корнелл, технический директор консалтинговой компании кибербезопасности Denim Group. «Поскольку приложения HTML5 могут получить доступ к этим данным, существует возможность для злоупотреблений», говорит он.

Браузеры небезопасны по определению

«Проблема в том, что браузеры по своей сути небезопасны», говорит Кевин Джонсон, генеральный директор консалтинговой фирмы IT-безопасности Secure Ideas. Например, HTML5 не предлагает надежную защиту песочницы, которую может получить Flash в браузере Chrome, отмечает он.

«Другая проблема в том, что мы увеличиваем уровень сложности в HTML5, не добавляя такой же уровень контроля для пользователя», говорит Джонсон. По крайней мере, пользователи могут отключить Flash. Однако они не могут отключить HTML.

HTML5 все еще держит обещания по поддержанию безопасности

Несмотря на мрачные перспективы, HTML5 дает надежду на лучшую безопасность — если создатели браузеров сделают правильную вещь, говорит Корнелл из Denim Group.

«Производители браузеров должны смотреть на то, как они будут встраивать поддержку HTML5, и планировать реализацию безопасности с самого начала», говорит он. «Многие из новых возможностей, введенных с HTML5, позволяют приложениям получить доступ к чувствительной информации, таким образом, нужно об этом позаботиться». Джонсон добавляет, что производители браузеров должны дать пользователям возможность отключать функциональность, которую они не хотят, или которой не доверяют.

Использование нескольких браузеров добавляет определенную безопасность, поскольку уязвимости, присутствующие в одном браузере, могут не существовать в других браузерах, говорит Корнелл. Это снижает риск повсеместной эксплуатации уязвимости, как в случае Flash.

Производители браузеров также работают над улучшением безопасности в целом, говорит Ричард Барнс, руководитель по безопасности Mozilla Firefox. Конкуренция между Google, Microsoft, Mozilla и Apple означает, что если у них есть вопросы безопасности, их репутация под угрозой, поэтому все основные производители браузеров имеют сильные команды безопасности, отмечает он.

Это происходит во всей индустрии браузеров — улучшение безопасности для всех, говорит Барнс. Например, в стадии разработки находится универсальный метод шифрования, и производители браузеров дают пользователям больше осведомленности и контроля над тем, что о них известно в Интернете, говорит он.

Помощь от стандартов по наполнению также скоро появится. Консорциум World Wide Web, который курирует развитие HTML5, предлагает спецификацию безопасности для контента, которая, как говорит руководитель домена W3C Венди Зельцер, предлагает политику языка для веб-авторов, ограничивающую активное содержание на сайтах, защищая от сценариев инъекций. Существует также спецификация Безопасного Контента, гарантирующая, что мощные веб-функции работают только в безопасных, прошедших проверку подлинности контекстах.

В конечном счете, приложения должны обеспечить безопасность, запускаются ли они в браузере или в операционной системе. Белланджер из Prevoty рекомендует, чтобы разработчики использовали руководство Microsoft по безопасной разработке для укрепления защиты приложений от взломов. «Это все еще ответственность разработчика — создать приложение настолько надежно, насколько это возможно», говорит он.