时事大家谈:家用新冠测试盒为抗疫带来哪些优势?
万维网联盟(W3C)提供的Web页面新标准集合是不可避免的作为HTML5,会附带一组全新的漏洞?至少有一些安全研究人员认为这是事实
“HTML5为Web带来了许多功能和强大功能,现在您可以使用普通的HTML5和JavaScript进行更多的[恶意工作],而不是以前,“安全研究员Lavakumar Kuppan表示,”W3C“将整个重新设计的思想贯穿于我们将在浏览器中开始执行应用程序的想法,并且多年来我们已经证明了浏览器的安全性,”Kevin Johnson说,一家拥有安全咨询公司Secure Ideas的渗透测试工具。 “我们必须回头去理解浏览器是恶意环境,我们丢失了这个网站”。
虽然HTML5本身就是一个规范的名称,但HTML5也经常被用来描述一组松散相关的集合这些标准合在一起可用于构建完整的Web应用程序。它们提供页面格式化,离线数据存储,图像呈现等方面的功能。 (虽然不是W3C规范,但JavaScript也常常被放在这些标准中,因此被广泛用于构建Web应用程序)。
安全研究人员开始探索所有这些新功能。
今年夏天早些时候Kuppan和另一位研究人员发布了滥用HTML5脱机应用程序缓存的方法。谷歌浏览器,Safari浏览器,Firefox和Opera浏览器的测试版都已经实现了这个功能,并且很容易受到使用这种方法的攻击的影响,他们指出。“研究人员认为,因为任何Web站点都可以创建缓存用户的计算机,并且在某些浏览器中,如果没有该用户的明确许可,攻击者可能会在网站(例如社交网络或电子商务网站)上设置虚假登录页面。这样一个伪造的页面可能被用来窃取用户的凭证。
其他研究人员对这一发现的价值有所分歧
“这是一个有趣的转折,但它似乎并没有为网络攻击者提供超越他们已经可以实现,“Chris Evans在Full Disclosure邮件列表中写道。 Evans是非常安全的文件传输协议(vsftp)软件的创建者。
安全研究公司Recursion Ventures的首席科学家Dan Kaminsky同意这项工作是HTML5之前开发的攻击的延续。 “浏览器不仅要求内容,渲染它并将其扔掉,还将其存储起来供以后使用…… Lavakumar正在观察下一代缓存技术遭受同样的特性,”他在电子邮件采访中说道。 。
批评者同意,这种攻击将依赖于一个不使用安全套接字层(SSL)的网站来加密浏览器和网页服务器之间的数据,这是通常的做法。但即使这项工作没有发现新类型的漏洞,它也表明旧的漏洞可以在这个新环境中重用。
约翰逊说,使用HTML5,许多新功能会自行构成威胁,因为它们会增加攻击者利用用户浏览器造成某种伤害的方式的数量。“
多年来,安全性一直集中在关于漏洞 - 缓冲区溢出,SQL注入攻击,我们修补它们,修复它们,监控它们,“Johnson说。但以HTML5为例,它常常是“可用于攻击我们的功能”,他说,“作为一个例子,约翰逊指出谷歌的Gmail,它是HTML5本地存储功能的早期用户。在HTML5之前,攻击者可能不得不从计算机上窃取cookie并解码它们以获取在线电子邮件服务的密码。现在,攻击者只需要进入用户的浏览器,其中的Gmail故事的收件箱的副本。
“这些功能集是可怕的,”他说。 “如果我能在您的Web应用程序中发现缺陷并注入HTML5代码,我可以修改您的网站并隐藏我不希望您看到的内容。”
使用本地存储,攻击者可以从浏览器读取数据或在您不知情的情况下在其中插入其他数据。利用地理位置,攻击者可以在您不知情的情况下确定您的位置。使用新版Cascading Style Sheets(CSS),攻击者可以控制可以看到的CSS增强页面的哪些元素。 HTML5 WebSocket为浏览器提供了一个网络通信堆栈,可能会被误用于秘密的后门通信。
这并不是说浏览器制造商对这个问题一无所知。即使他们努力加入对新标准的支持,他们也在研究如何防止滥用。在Usenix研讨会上,Stamm指出了Firefox团队正在探索的一些技术,以减轻这些新技术可能带来的损害。例如,他们正在开发名为JetPack的替代插件平台,该平台称为JetPack将更加严格地控制插件可以执行的操作。 Stamm说:“如果我们完全控制了[应用程序编程接口],我们就可以说'这个附加组件正在请求访问Paypal.com,你会允许它吗?”Stamm说,
JetPack也可能使用一个声明式安全模型,其中插件必须向浏览器声明它打算执行的每个动作。然后,浏览器会监控插件,以确保它保持在这些参数范围内。“
但是,浏览器制造商是否可以做足以保护HTML5仍有待观察,批评者认为。”企业必须开始评估是否这些功能值得推出新的浏览器,“Johnson说。 “这是您可能听到的几次之一'您知道,也许[Internet Explorer] 6更好。'”
Joab Jackson涵盖了
IDG新闻服务
的企业软件和通用技术突发新闻。 。在@Joab_Jackson的Twitter上关注Joab。 Joab的电子邮件地址是[email protected]