ä¸è¦å²ç¬æåçæ§
"WebアプリケーションはHTML5で信じられないくらい豊かになっています。ブラウザはフルボアアプリケーションを管理し始めています.Firefoxブラウザのセキュリティチームは、HTML5の新しいバージョンのWebハイパーテキストマークアップ言語を心に持っています。 Webページだけでなく、Mozilla FoundationのFirefoxセキュリティ問題に取り組んでいるSid Stamm氏は語っています。先週、ワシントンDCで開催されたUsenix Security Symposiumで講演していました
「攻撃する面がたくさんあります」と同氏は述べています。
同じ週、StammはHTML5の心配を表明しました。は、HTML5キャンバスのイメージレンダリング機能を使用して悪用される可能性のあるバッファオーバーフローの脆弱性を修正するのに忙しかった
W3CのWebページレンダリングの新しい標準が集合的に知られていることは避けられないHTML5として、脆弱性の全く新しいバンドルが付属していますか?
「HTML5は、Webに多くの機能とパワーをもたらします。これまで可能だったよりも、HTML5やJavaScriptを使って、もっと多くの悪質な作業を行うことができますセキュリティ研究者のLavakumar Kuppan氏は述べています。
W3Cは、ブラウザ内でのアプリケーションの実行を開始するというアイデアを全面的に再設計しており、ブラウザの安全性は何年にもわたって証明されています。セキュリティコンサルティング会社Secure Ideasの侵入テスター。 「ブラウザが悪意のある環境であることを理解することに戻る必要があります。サイトは失われてしまいました」。
それ自体の仕様の名前でもありますが、HTML5はしばしば相互に疎結合した集合一緒になって、本格的なWebアプリケーションを構築するために使用することができます。それらは、ページフォーマット、オフラインデータ記憶、画像レンディションなどの機能を提供します。 (W3C仕様ではないが、JavaScriptも頻繁にこれらの標準で集中しているので、Webアプリケーションを構築する上で広く使われている)
この新しい提案された機能はすべてセキュリティ研究者によって探究され始めている。 、Kuppanと他の研究者がHTML5オフラインアプリケーションキャッシュを誤用する方法を紹介しました。 GoogleのChrome、Safari、Firefox、そしてOperaブラウザのベータ版は既にこの機能を実装しており、このアプローチを使用した攻撃に対して脆弱になると指摘している[
]。そのユーザーの明示的な許可なしに行う場合、攻撃者はソーシャルネットワーキングや電子商取引サイトなどのサイトへの偽のログインページを設定する可能性があります。このような偽のページは、ユーザーの資格情報を盗むために使用される可能性があります。
他の研究者がこの発見の価値について分かれています。
"面白いことですが、ネットワーク攻撃者に彼らはすでに達成することができます」とChris Evans氏はフルディスクロージャーのメーリングリストに書きました。セキュリティーリサーチ会社Recursion Venturesのチーフ・サイエンティストであるDan Kaminskyは、この作業はHTML5以前に開発された攻撃の継続であることに同意しました。 Lavakumar氏は次の世代のキャッシング技術がこのような特性に悩まされていると指摘している」とEメール・インタビュー
批評家は、この攻撃が、ブラウザとWebページサーバー間でデータを暗号化するためにSSL(Secure Sockets Layer)を使用しないサイトに依存することに同意しました。しかし、この作業が新しいタイプの脆弱性を発見しなかったとしても、この新しい環境で古い脆弱性を再利用できることを示しています。
ジョンソン氏によると、HTML5では、新機能の多くは、攻撃者がユーザーのブラウザを利用して何らかの害を被る可能性のある方法の数が増えるため、脅威を構成しているという。
バッファオーバーフロー、SQLインジェクション攻撃などの脆弱性を修正し、修正して修正し、監視しています。しかし、HTML5の場合、それはしばしば「私たちに攻撃するのに使うことができる機能」である、とJohnson氏は例として、HTML5のローカルストレージ機能の初期ユーザーであるGoogleのGmailを指摘している。 HTML5より前の攻撃者は、マシンからクッキーを奪ってデコードして、オンライン電子メールサービスのパスワードを取得しなければならなかったかもしれません。今や、攻撃者はユーザーのブラウザに入るだけでよい。ここでGmailは受信トレイのコピーを記録している。
「これらの機能セットは恐ろしいものだ。 「Webアプリケーションの欠陥を見つけてHTML5コードを挿入することができれば、私はあなたのサイトを修正し、あなたが見たくないものを隠すことができます」。
ローカルストレージでは、攻撃者はブラウザからデータを読むことができます他のデータをあなたの知識なしでそこに挿入することができます。ジオロケーションを使用すると、攻撃者はあなたの知らないうちにあなたの場所を特定できます。カスケーディングスタイルシート(CSS)の新しいバージョンでは、攻撃者はあなたが見ることができるCSS拡張ページの要素を制御できます。 HTML5 WebSocketは、ネットワーク通信スタックをブラウザに提供します。これは、隠密なバックドア通信に悪用される可能性があります。
これは、ブラウザメーカーがこの問題を認識していないと言っているわけではありません。新しい基準のサポートを追加するように働いているとしても、彼らは誤用を防止する方法を検討しています。 Usenixのシンポジウムで、Stamm氏は、Firefoxチームがこれらの新技術で可能なダメージを緩和するために検討している技術をいくつか指摘しました。たとえば、JetPackという別のプラグインプラットフォームを使用しています。プラグインが実行できるアクションをより厳密に制御できます。 「このアドオンはPaypal.comへのアクセスをリクエストしていると言えるだろうか?」とStamm氏は述べている。「JetPackは、プラグインが実行しようとする各アクションをブラウザに宣言する必要がある宣言型セキュリティモデルです。ブラウザは、プラグインを監視して、これらのパラメータの範囲内に留まるようにする。
ブラウザメーカーがHTML5を保護するために十分にできるかどうかは依然として残っていると、批評家は主張する。新しいブラウザを公開するにはこれらの機能が価値がある」とジョンソン氏は語った。 Joel Jacksonは、エンタープライズソフトウェアと一般的なテクノロジーに関する最新情報を
IDG News Service
に掲載しています。これは、 。 @Joab_JacksonでTwitterのJoabに従ってください。 Joabの電子メールアドレスは[email protected]です。