HTML5 מעלה בעיות אבטחה חדשות

כשמדובר אבטחה חדשה, צוות האבטחה של דפדפן פיירפוקס יש את הגירסה החדשה של האינטרנט HyperText Markup Language, HTML5, בראש ובראשונה על המוח.

"יישומי אינטרנט הופכים עשירים להפליא עם HTML5 הדפדפן מתחיל לנהל יישומים מלא משעמם ולא רק דפי אינטרנט ", אמר סיד סטאם, שעובד על בעיות האבטחה של פיירפוקס עבור קרן מוזילה. סטאם דיבר בסימפוזיון האבטחה של אוסניקס, שנערך בשבוע שעבר בוושינגטון די.סי. "יש הרבה משטח התקפה שאנחנו צריכים לחשוב עליו", אמר. באותו שבוע בשבוע שעבר הביע סטאם דאגה לגבי HTML5, מפתחים של דפדפן האופרה היו עסוקים בתיקון פגיעות של הצפת מאגר שיכולה להיות מנוצלת באמצעות התכונה 'עיבוד תמונה' של HTML5. האם זה בלתי נמנע שקבוצת הסטנדרטים החדשה של WideConnect W3C (Web Wide Web Consortium) (W3C) של דפי אינטרנט, המוכרת באופן קולקטיבי כמו HTML5, לבוא עם חבילה חדשה של פגיעויות? לפחות כמה מחוקרי האבטחה חושבים שזה המקרה. "" HTML5 מביא הרבה תכונות ועוצמה לאינטרנט, אתה יכול לעשות הרבה יותר [עבודה זדונית] עם HTML5 ו- JavaScript פשוט יותר משהיה אי פעם אפשרי לפני, אומר חוקר האבטחה, לבאקומאר קופאן. "ה- W3C" מיישם את כל העיצוב מחדש על הרעיון שנתחיל לבצע יישומים בתוך הדפדפן, והוכחנו לאורך השנים כמה דפדפנים מאובטחים ", אמר קווין ג'ונסון, בודק חדירה עם ייעוץ אבטחה המשרד Secure רעיונות. "אנחנו צריכים לחזור להבנה שהדפדפן הוא סביבה זדונית, איבדנו את האתר". > למרות שמדובר במפרט בפני עצמו, HTML5 משמש לעתים קרובות לתיאור אוסף של קבוצות רופפות באופן רופף של סטנדרטים, יחד, ניתן להשתמש כדי לבנות יישומי אינטרנט מלאים. הם מציעים יכולות כגון עיצוב הדף, אחסון נתונים לא מקוון, ביצוע תמונות והיבטים אחרים. (אם כי לא מפרט W3C, JavaScript הוא גם לעתים קרובות תקוע בסטנדרטים אלה, כך נעשה שימוש נרחב זה בבניית יישומי אינטרנט).

כל הפונקציונליות המוצעת החדשה מתחילה להיחקר על ידי חוקרי אבטחה.

מוקדם יותר הקיץ, Kuppan וחוקר אחר פרסם דרך להשתמש לרעה ב- HTML5 יישום מטמון לא מקוון. Google Chrome, Safari, Firefox ו- Beta של דפדפן האופרה כבר מימשו את התכונה הזו, ויהיו חשופים להתקפות שהשתמשו בגישה זו. לדברי החוקרים, מכיוון שכל אתר אינטרנט יכול ליצור מטמון במחשב של המשתמש, ובדפדפנים מסוימים, לעשות זאת ללא הרשאת המשתמש המפורשת, תוקף יכול להגדיר דף כניסה מזויף לאתר כגון אתר רשת חברתית או אתר מסחר אלקטרוני.

חוקרים אחרים חולקו על הערך של הממצא הזה.

"זה טוויסט מעניין אבל זה לא נראה להציע לתוקפים ברשת שום יתרון נוסף מעבר למה הם יכולים כבר להשיג ", כתב כריס אוונס על רשימת דיוור מלאה. אוונס הוא היוצר של התוכנה Secure File Transfer Protocol (vsftp).

דן קמינסקי, המדען הראשי של חברת המחקר האבטחה Recursion Ventures, הסכים כי עבודה זו היא המשך של התקפות שפותחו לפני HTML5. "הדפדפנים לא רק מבקשים תוכן, מעבירים אותו, וגם זורקים אותו, הם גם מאחסנים אותו לשימוש מאוחר יותר … Lavakumar צופה כי הדור הבא של טכנולוגיות אחסון במטמון סובלות מאותה תכונה", אמר בראיון לדואר אלקטרוני.

המבקרים הסכימו כי התקפה זו תסתמך על אתר לא משתמש Secure Sockets Layer (SSL) כדי להצפין נתונים בין הדפדפן לבין שרת דף אינטרנט, אשר נפוץ התאמן. אבל גם אם עבודה זו לא חשפה סוג חדש של פגיעות, היא מראה כי פגיעות ישנה ניתן לעשות בה שימוש חוזר בסביבה חדשה זו.לדברי ג'ונסון, עם HTML5, רבות מהתכונות החדשות מהוות איומים בכוחות עצמם, בשל האופן שבו הן מגדילות את מספר הדרכים שבהן התוקף יכול לרתום את דפדפן המשתמש כדי לגרום נזק כלשהו.

"במשך שנים האבטחה התמקדה על פגיעויות - גלישת חיץ, התקפות הזרקת SQL, אנחנו תיקון אותם, אנחנו לתקן אותם, אנחנו לפקח עליהם, "אמר ג 'ונסון. אבל במקרה של HTML5, זה לעתים קרובות את התכונות עצמם "זה יכול לשמש כדי לתקוף אותנו", הוא אמר. כדוגמה, ג 'ונסון מצביע על Gmail של גוגל, שהוא משתמש מוקדם של יכולות אחסון מקומי של HTML5. לפני HTML5, ייתכן שתוקף היה צריך לגנוב עוגיות ממכשיר ולפענח אותן כדי לקבל את הסיסמה עבור שירות דואר אלקטרוני מקוון. כעת, התוקף צריך רק להיכנס לדפדפן של המשתמש, כאשר Gmail מספר עותק של תיבת הדואר הנכנס.

"ערכות התכונה האלה מפחידות", אמר. "אם אני יכול למצוא פגם ביישום האינטרנט שלך, ולהזריק קוד HTML5, אני יכול לשנות את האתר שלך ולהסתיר דברים שאני לא רוצה שתראה".

עם אחסון מקומי, תוקף יכול לקרוא נתונים מהדפדפן שלך, או להוסיף נתונים אחרים שם ללא ידיעתך. עם מיקום גיאוגרפי, תוקף יכול לקבוע את מיקומך ללא ידיעתך. עם הגרסה החדשה של גיליונות סגנונות מדורגים (CSS), תוקף יכול לשלוט על האלמנטים של דף משופר ב- CSS שניתן לראות. HTML5 WebSocket מספק מחסנית תקשורת רשת אל הדפדפן, אשר יכול להיות מנוצל לרעה עבור תקשורת אחורית חשאית.

זה לא אומר כי יצרני הדפדפן אינם מודעים לבעיה זו. גם כאשר הם עובדים כדי להוסיף את התמיכה בסטנדרטים החדשים, הם מחפשים דרכים למנוע שימוש לרעה שלהם. בסימפוזיון של Usenix, Stamm ציין כמה מהטכניקות שצוות ה- Firefox בוחן כדי לצמצם את הנזק שניתן לעשות עם הטכנולוגיות החדשות האלה.

לדוגמה, הן פועלות על פלטפורמת Plug-in חלופית, הנקראת JetPack, היה לשמור על שליטה הדוקה יותר על מה פעולות plug-in יכול לבצע. "אם יש לנו שליטה מלאה על [ממשק תכנות היישומים], אנחנו יכולים לומר 'תוסף זה מבקש גישה ל- Paypal.com, האם תרשה זאת?'" אמר סטאם.

JetPack יכול גם להשתמש מודל אבטחה הצהרתי, שבו התוספת חייבת להצהיר לדפדפן על כל פעולה שהיא מתכוונת לבצע. לאחר מכן הדפדפן יפקח על הפלאגין כדי לוודא שהוא נשאר בתוך הפרמטרים האלה. עם זאת, אם עדיין יש ביכולתם של קובצי הדפדפן לעשות מספיק כדי להבטיח HTML5, טוענים המבקרים.

"הארגון צריך להתחיל להעריך אם זה שווה את התכונות האלה כדי להשיק את הדפדפנים החדשים ", אמר ג 'ונסון. "זה אחד מהפעמים שאתה יכול לשמוע" אתה יודע, אולי [Internet Explorer] 6 היה טוב יותר. ""

יואב ג'קסון מכסה את התוכנה הארגונית וטכנולוגיה כללית חדשות חמות עבור

שירות IDG חדשות

. בצע יואב בטוויטר ב @ Joab_Jackson. כתובת הדואר האלקטרוני של יואב היא [email protected]