HTML5安全性:HTML5能够替代Flash 增强Web安全性?(一)

日期: 2012-05-29 作者:Michael Cobb翻译:曾少宁 来源:TechTarget中国 英文

尽管现在所有连接互联网的计算机都安装了Flash(Adobe问题不断的Web多媒体格式),但是似乎它很快就会被新标准HTML5所替代。按照Adobe自己话说,“HTML5现在得到主流移动设备的普遍支持,并成为创建和部署面向移动平台浏览器内容的最佳解决方案。”   对于企业攻击者而言,这无疑是一个坏消息。近几年来,Flash已经成为恶意程序黑客的主要攻击目标。

根据安全研究公司WhiteHat Security Inc.的数据,与Flash播放器相关的漏洞占他们发现的Web应用程序漏洞的14%左右。   那么,Flash的消失是否是一个安全利好消息?HTML5是否会替代Flash?如果会,那么HT……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

尽管现在所有连接互联网的计算机都安装了Flash(Adobe问题不断的Web多媒体格式),但是似乎它很快就会被新标准HTML5所替代。按照Adobe自己话说,“HTML5现在得到主流移动设备的普遍支持,并成为创建和部署面向移动平台浏览器内容的最佳解决方案。”

  对于企业攻击者而言,这无疑是一个坏消息。近几年来,Flash已经成为恶意程序黑客的主要攻击目标。根据安全研究公司WhiteHat Security Inc.的数据,与Flash播放器相关的漏洞占他们发现的Web应用程序漏洞的14%左右。

  那么,Flash的消失是否是一个安全利好消息?HTML5是否会替代Flash?如果会,那么HTML5安全性能否与Flash对抗?安全人员应该如何做好部署HTML5 Web内容的准备?下面,我们将会针对这些问题展开讨论。

  HTML5得到了许多互联网巨头的支持,包括Facebook、谷歌和PayPal。事实上,它正在成为将来的互联网视频标准,并且会替代所有非标准格式,如Flash和微软的Silverlight。Flash是一种二进制的多媒体内容格式,采用面向对象开发语言ActionScript,需要安装Adobe插件。相反,HTML5是一种开放源码的标记语言,不需要任何插件就能够运行应用程序。删除了视频播放私有插件,也就关上了常见的攻击载体,因为HTML5更新是通过浏览器更新实现的,所以它们的更新速度远远比插件快。然而,HTML5有更多的计算机资源访问权限,包括本地数据存储,从而也成为新的潜在攻击目标。

  对于HTML5,我主要担心的是,开发人员在未完全理解它的新特性及安全机制之前,就匆匆在网站上添加HTML5特性。例如,跨域资源共享(CORS)使Web服务器允许其他域名的网页访问自己的资源。CORS放宽了同源访问规则(Same Origin Rule),这是Web浏览器内置的基础安全措施之一。除非开发人员理解CORS的工作原理,否则他们很容易做出错误的假设,使攻击者能够访问所共享的内容。HTML5跨文档消息也有相同的问题。如果使用正确,它会很安全,但是如何开发者不确保消息来自自己的网站,那么其他网站的恶意代码可能会发送欺骗性流氓消息。基本的安全原则是,来自浏览器的数据都应该视为不可信数据,因此必须进行验证。在Web应用程序开发过程中,一定要检查当前的验证过程和过滤器,因为HTML5新元素和属性可能会产生一些意外结果。应用程序内置的基于白名单的过滤器确实更具灵活性。

  如果开发者使用技术的方法偏离该技术原来的目标,那么任何技术都可能出现安全漏洞。例如,HTML5 Web存储标准为开发者提供了一种更灵活方法,可以替代Cookie在浏览器上存储数据。当然,存储用户敏感数据存在一定的风险,可能会受到跨站脚本(XSS)的攻击,但是有一些网站已经使用这种技术来存储脚本,以提高页面加载速度。例如:为了节省时间和带宽,前面的Web服务Apture使用一个localStorage对象,缓存它的应用程序逻辑代码,但是与这些脚本在同一个域的页面可能存在XSS漏洞,可能会被利用,向缓存注入恶意代码。利用Apture服务,恶意代码可能会将漏洞变成面向所有域的持久客户端XSS攻击。从第三方提取数据或脚本会创建一种隐含的信任关系。开发者必须认识到这种潜在风险,理解如何在内容放到网站之前对内容进行审查。

翻译

曾少宁
曾少宁

TechTarget中国特约技术编辑,某高校计算机科学专业教师和网络实验室负责人,曾任职某网络国际厂商,关注数据中心、开发运维、数据库及软件开发技术。有多本关于思科数据中心和虚拟化技术的译著,如《思科绿色数据中心建设与管理》和《基于IP的能源管理》等。

相关推荐