HTML5 løfter nye sikkerhedsproblemer

Når det kommer til ny sikkerhed problemer, sikkerhedsgruppen for Firefox-browseren har den nye version af Web HyperText Markup Language, HTML5, først og fremmest på sindet.

"Webapps bliver utrolig rige med HTML5. Browseren begynder at administrere fuldborede applikationer og ikke bare websider, "siger Sid Stamm, der arbejder på Firefox sikkerhedsproblemer for Mozilla Foundation. Stamm talte ved Usenix Security Symposium, der blev afholdt i Washington DC i sidste uge

"Der er en masse angrebsoverflader, vi skal tænke på," sagde han.

I samme uge gav Stamm udtryk for bekymring over HTML5, udviklere af opera-browseren var optaget af at fastsætte en sårbarhed for bufferoverløb, der kunne udnyttes ved hjælp af HTML5-lærredens billedgengivelsesfunktion.

Er det uundgåeligt, at World Wide Web Consortiums (W3C) nye sæt standarder for rendering af websider, der er kollektivt kendte som HTML5, kommer med et helt nyt bundt af sårbarheder? Mindst nogle sikkerhedsforskere mener, at dette er tilfældet.

"HTML5 bringer mange funktioner og magt til internettet. Du kan gøre så meget mere [ondsindet arbejde] med almindelig HTML5 og JavaScript nu, end det var muligt før "sagde sikkerhedsforsker Lavakumar Kuppan.

W3C'en" gearer hele denne redesign over ideen om, at vi vil begynde at udføre applikationer i browseren, og vi har gennem årene bevist, hvor sikre browsere er ", siger Kevin Johnson, en penetrationstester med sikkerhedskonsulentfirmaet Secure Ideas. "Vi skal gå tilbage til at forstå, at browseren er et ondsindet miljø. Vi mistede stedet for det."

Selvom det er navnet på en specifikation alene, bruges HTML5 ofte også til at beskrive en samling af løst indbyrdes forbundne sæt af standarder, der samlet set kan bruges til at opbygge komplette webapplikationer. De tilbyder evner som sideformatering, offline datalagring, billedgengivelse og andre aspekter. (Selvom det ikke er en W3C-spec, er JavaScript også ofte klumpet i disse standarder, så meget udbredt er det i at bygge webapplikationer).

Alle disse nye foreslåede funktionaliteter begynder at blive udforsket af sikkerhedsforskere.

Tidligere i sommer, Kuppan og en anden forsker skrev en måde at misbruge HTML5 Offline Application Cache. Google Chrome, Safari, Firefox og beta af Opera-browseren har alle allerede implementeret denne funktion og ville være sårbare over for angreb, der brugte denne fremgangsmåde, bemærkede de.

Forskerne hævder, at fordi ethvert websted kan oprette en cache på brugerens computer, og i nogle browsere gør det uden brugernes udtrykkelige tilladelse, kan en angriber oprette en falsk log-in side til et websted som et socialt netværk eller e-handelssite. En sådan falsk side kunne derefter bruges til at stjæle brugerens legitimationsoplysninger.

Andre forskere blev delt om værdien af ​​dette fund.

"Det er et interessant twist, men det synes ikke at tilbyde netværksangrebere nogen yderligere fordel ud over hvad de kan allerede nå, "skrev Chris Evans på mailinglisten Full Disclosure. Evans er skaberen af ​​software til meget sikker filoverførselprotokol (vsftp).

Dan Kaminsky, chefforsker for sikkerhedsforskningsfirmaet Recursion Ventures, var enig i, at dette arbejde er en fortsættelse af angreb udviklet før HTML5. "Browsere kræver ikke bare indhold, gør det og smider det væk. De lagrer det også til senere brug … Lavakumar bemærker, at næste generations caching-teknologier har samme egenskaber," sagde han i en e-mail-interview.

Kritikere var enige om, at dette angreb ville stole på et websted, der ikke bruger Secure Sockets Layer (SSL) til at kryptere data mellem browseren og websideserveren, som almindeligvis praktiseres. Men selv om dette arbejde ikke afværgede en ny type sårbarhed, viser det sig, at et gammelt sårbarhed kan genbruges i dette nye miljø.

Johnson siger, at med HTML5 udgør mange af de nye funktioner trusler alene på grund af, hvordan de øger antallet af måder, en angriber kunne udnytte brugerens browser til at gøre noget af en slags skade.

"Sikkerheden har i årevis fokuseret på sårbarheder - buffer overløb, SQL indsprøjtning angreb. Vi lapper dem, vi retter dem, vi overvåger dem, "Johnson sagde. Men i HTML5's tilfælde er det ofte funktionerne "der kan bruges til at angribe os", siger han.

Johnson peger eksempelvis på Googles Gmail, som er en tidlig bruger af HTML5's lokale lagringsfunktioner. Før HTML5 har en hacker måske måttet stjæle cookies fra en maskine og afkode dem for at få adgangskoden til en online e-mail-tjeneste. Nu skal angriberen kun få adgang til brugerens browser, hvor Gmail fortæller en kopi af indbakken.

"Disse funktionssæt er skræmmende," sagde han. "Hvis jeg kan finde en fejl i din webapplikation og indsprøjte HTML5-kode, kan jeg ændre dit websted og skjule ting, jeg ikke vil have dig at se."

Med lokal opbevaring kan en hacker læse data fra din browser, eller indsæt andre data der uden din viden. Med geolocation kan en angriber bestemme din placering uden din viden. Med den nye version af Cascading Style Sheets (CSS) kan en angriber kontrollere hvilke elementer af en CSS-forbedret side, du kan se. HTML5 WebSocket leverer en netværkskommunikationsstabel til browseren, som kunne misbruges til surreptitiv bagdørskommunikation.

Dette siger ikke, at browserens beslutningstagere er uvidende om dette problem. Selv når de arbejder for at tilføje i støtte til de nye standarder, ser de på måder at forhindre deres misbrug. På Usenix-symposiet noterede Stamm nogle af de teknikker, som Firefox-teamet udforsker for at begrænse skader, der kunne gøres med disse nye teknologier.

De arbejder for eksempel på en alternativ plug-in platform kaldet JetPack, der ville holde tættere kontrol over, hvilke handlinger en plug-in kunne udføre. "Hvis vi har fuld kontrol over [applikationsprogrammeringsgrænsefladen], kan vi sige 'Denne tilføjelse kræver adgang til Paypal.com, vil du tillade det?'" Stamm sagde.

JetPack kan også bruge en deklarativ sikkerhedsmodel, hvor plug-in skal erklære for browseren hver handling, den har til hensigt at gennemføre. Browseren vil derefter overvåge plug-in'en for at sikre, at den forbliver inden for disse parametre.

Stadig, om browser beslutningstagere kan gøre nok for at sikre HTML5, er det stadig at se, kritikere hævder.

"Virksomheden skal begynde at vurdere, om Det er værd at disse funktioner ruller ud de nye browsere, "sagde Johnson. "Dette er et af de få gange du kan høre." Du ved, måske [Internet Explorer] 6 var bedre. ""

Joab Jackson dækker firmware og generel teknologi, der bryder nyheder til IDG News Service. Følg Joab på Twitter på @Joab_Jackson. Joabs e-mail-adresse er [email protected]