HTML5 поднимает новые проблемы безопасности

Когда дело доходит до новой безопасности проблемы, команда безопасности для браузера Firefox имеет новую версию языка разметки веб-гипертекста, HTML5, в первую очередь на уме.

«Веб-приложения становятся невероятно богаты HTML5. Браузер начинает управлять приложениями с полным заполнением а не только веб-страниц », - сказал Сид Штамм, который работает над проблемами безопасности Firefox для Mozilla Foundation. Штамм выступал на Симпозиуме по безопасности Usenix, который состоялся на прошлой неделе в Вашингтоне, округ Колумбия.

«Нам нужно много думать об атаке, - сказал он.

В ту же неделю Штамм выразил беспокойство по поводу HTML5, разработчиков браузера Opera были заняты устранением уязвимости переполнения буфера, которая может быть использована с использованием функции рендеринга изображения canvas HTML5.

Неизбежно, что новый набор стандартов World Wide Web Consortium (W3C) для рендеринга веб-страниц, коллективно известных как HTML5, приходят со всем новым набором уязвимостей? По крайней мере, некоторые исследователи безопасности думают, что это так.

«HTML5 предоставляет множество возможностей и возможностей для Интернета. Вы можете сделать гораздо больше [вредоносной работы] с простым HTML5 и JavaScript, чем это было возможно раньше, - сказал исследователь по безопасности Lavakumar Kuppan.

W3C «запустил всю эту редизайн над идеей о том, что мы начнем выполнять приложения в браузере, и на протяжении многих лет мы доказали, насколько безопасны браузеры», - сказал Кевин Джонсон, тестером проникновения с фирмой безопасности Secure Ideas. «Мы должны вернуться к пониманию того, что браузер - злонамеренная среда. Мы потеряли сайт».

Хотя это имя спецификации само по себе, HTML5 также часто используется для описания набора слабо взаимосвязанных наборов стандартов, которые вместе взятые могут использоваться для создания полноценных веб-приложений. Они предлагают такие возможности, как форматирование страниц, автономное хранение данных, рендеринг изображений и другие аспекты. (Хотя это не спецификация W3C, JavaScript также часто сосредоточен в этих стандартах, поэтому он широко используется в создании веб-приложений).

Все эти новые предлагаемые функциональные возможности начинают изучаться исследователями безопасности.

Ранее этим летом, Куппан и еще один исследователь опубликовали способ злоупотребления кэшем приложений HTML5. Они отметили, что Google Chrome, Safari, Firefox и бета браузера Opera уже используют эту функцию и будут уязвимы для атак, которые использовали этот подход.

Исследователи утверждают, что, поскольку любой веб-сайт может создавать кеш на компьютер пользователя и, в некоторых браузерах, делать это без явного разрешения этого пользователя, злоумышленник может настроить поддельную страницу входа на сайт, такой как социальная сеть или сайт электронной коммерции. Такая поддельная страница может быть использована для кражи учетных данных пользователя.

Другие исследователи были разделены на ценность этого вывода.

«Это интересный поворот, но он, похоже, не предлагает сетевым атакующим любое дополнительное преимущество, помимо того, что они уже могут достичь », - написал Крис Эванс в списке рассылки Full Disclosure. Эванс является разработчиком программного обеспечения для протокола Very Secure File Transfer Protocol (vsftp).

Д-р Камински (Dan Kaminsky), главный научный сотрудник исследовательской фирмы по регрессным рискам, согласился с тем, что эта работа является продолжением атак, разработанных до HTML5. «Браузеры не просто запрашивают контент, обрабатывают его и отбрасывают, а также сохраняют его для последующего использования … Lavakumar отмечает, что технологии кэширования следующего поколения имеют такую ​​же черту», ​​- сказал он в интервью по электронной почте.

Критики согласились, что эта атака будет опираться на сайт, не использующий Secure Sockets Layer (SSL) для шифрования данных между браузером и сервером веб-страниц, который обычно практикуется. Но даже если эта работа не выявила новый тип уязвимости, она показывает, что старую уязвимость можно повторно использовать в этой новой среде.

Джонсон говорит, что с HTML5 многие из новых функций представляют угрозу сами по себе, из-за того, как они увеличивают количество способов, которыми злоумышленник может использовать браузер пользователя, чтобы нанести какой-то вред.

«В течение многих лет безопасность фокусировалась на уязвимости - переполнение буфера, атаки SQL-инъекций. Мы их исправляем, мы их исправляем, мы контролируем их », - сказал Джонсон. Но в случае с HTML5 часто используются сами функции, «которые могут быть использованы для атаки на нас», - сказал он.

В качестве примера Джонсон указывает на Gmail Google, который является ранним пользователем возможностей локального хранилища HTML5. Перед HTML5 злоумышленнику, возможно, пришлось похитить файлы cookie с машины и расшифровать их, чтобы получить пароль для онлайн-службы электронной почты. Теперь злоумышленнику нужно только войти в браузер пользователя, где Gmail сообщает копию папки «Входящие».

«Эти наборы функций страшны», - сказал он. «Если я могу найти недостаток в вашем веб-приложении и ввести код HTML5, я могу изменить ваш сайт и скрыть вещи, которые не хочу видеть».

В локальном хранилище злоумышленник может читать данные из вашего браузера, или вставьте другие данные там без вашего ведома. С помощью геолокации злоумышленник может определить ваше местоположение без вашего ведома. С новой версией Cascading Style Sheets (CSS) злоумышленник может контролировать, какие элементы страницы с улучшенной CSS можно увидеть. HTML5 WebSocket поставляет в браузер стек сетевой связи, который может быть неправильно использован для тайных бэкдор-коммуникаций.

Это не означает, что разработчики браузера не обращают внимания на эту проблему. Даже когда они работают над тем, чтобы добавить поддержку новых стандартов, они рассматривают способы предотвращения их неправильного использования. На симпозиуме Usenix Штамм отметил некоторые из тех методов, которые команда Firefox изучает, чтобы уменьшить ущерб, который может быть нанесен с помощью этих новых технологий.

Например, они работают над альтернативной платформой плагинов под названием JetPack, которая будет более жестко контролировать действия, которые мог выполнить плагин. «Если мы полностью контролируем [интерфейс прикладного программирования], мы можем сказать:« Это дополнение запрашивает доступ к Paypal.com, разрешите ли вы его? », - сказал Штамм.

JetPack также может использовать декларативную модель безопасности, в которой плагин должен объявить браузеру каждое действие, которое он намерен предпринять. Браузер затем будет следить за подключаемым модулем, чтобы убедиться, что он остается в этих параметрах.

Тем не менее, если разработчики браузера могут сделать достаточно, чтобы защитить HTML5, пока не видно, считают критики.

«Предприятие должно начать оценивать, для этих функций стоит использовать новые браузеры », - сказал Джонсон. «Это один из немногих раз, когда вы можете услышать». Вы знаете, может быть, [Internet Explorer] 6 был лучше ».

Joab Jackson охватывает корпоративное программное обеспечение и общую технологию, новости для Служба новостей IDG, Следуйте за Joab в Twitter на @Joab_Jackson. Адрес электронной почты Joab - [email protected]