Европейское Сетевое и Информационное Агентство по Безопасности (ENISA)
выпустило в понедельник, 1 августа, 61-страничный документ с анализом HTML5,
последней спецификации языка разметки.
HTML5 курируется World Wide Web Consortium (W3C). Эта организация
принимала комментарии на последний проект HTML5 до вторника, и ENISA
закончила свои рекомендации за день до окончания срока их приема.
«Я думаю, что это произошло впервые, когда весь набор
спецификаций был оценен с позиции безопасности», сказал Гилес Хогбен
(Giles Hogben), менеджер программ безопасности при ENISA.
Спецификация HTML5 важна как приложение, которым будут пользоваться
дизайнеры и веб-разработчики следующие годы. Спецификация HTML4, например,
используется с 1999 года.
Если спецификации для веб браузера не достаточно хороши, они подвергают
каждого, от потребителя до корпорации, риску.
«Сегодня каждый пользуется браузером для всевозможных задач», говорит
Хогбен. «Это действительно критично».
ENISA рассмотрело 13 спецификаций в HTML5 и обнаружило 51 проблем с
безопасностью. Некоторые пункты можно исправить небольшой корректировкой
спецификаций, в то время как другие являются более рисковыми и пользователям
следует о них знать, говорит Хогбен. Одна из функциональностей, которую
отметила ENISA в докладе, так называемая «подделка форм».
Спецификация HTML5 позволяет по команде «разместить» для веб – формы
быть размещенной где угодно на веб-странице. Это означает, что
злоумышленник сможет вставить другой HTML код в страницу, например кнопку
другой формы, и затем отправить информацию злоумышленнику, а не на легитимный
сайт.
Новый функционал представляет удобства для разработчиков, считает
Хогбен. «Мы не предлагаем W3C удалить функционал, но пользователям следует
знать о возможных рисках».
ENISA также дало рекомендации о том, как браузеры должны себя вести,
когда пользователи совершают банковские транзакции. Пользователям следует
применять различные браузеры или, по крайней мере, пользоваться «песочницами»,
когда используют множество закладок. «Песочница», не даст другой закладке,
которая может быть фальшивой, сбросить настройки для всего браузера.
ENISA планирует отправить свои рекомендации рабочей группе W3C,
которая будет пересматривать спецификации в январе 2012 года.
Источник: www.computerworld.com