Привнесет ли HTML 5 помимо новых возможностей и новые уязвимости в безопасности? О необходимости устранения рисков в безопасности в новом рассматриваемом стандарте рассказывают известные эксперты в области безопасности.

По мнению Джереми Гроссман, главный технический директор WhiteHat Security «с появлением новой спецификации, такой большой и мощной как HTML 5, разработчикам следует проявить обеспокоенность по отношению к безопасности создаваемых сайтов и веб-приложений.»

В настоящее время, пока еще рабочая версия HTML 5 — последняя версия веб-языка, используемого для описания веб-страниц, предоставляет несколько новых усовершенствований. Например, предусматривается возможность хранения данных на локальном компьютере, которая позволит веб-приложениям работать в оффлайн-режиме. Также планируется встроенная поддержка приложений RIA, использование которых ранее было доступно только посредством установки плагинов, таких как Adobe Flash или Microsoft Silverlight.

В E-mail-интервью Ян Якобс, глава W3C Communications подчеркнул необходимость принятия HTML 5 в том числе из-за того, что последнее официальное обновление спецификации HTML4 было в 1999 году, то есть целых 11 лет назад. Консорциум W3C является официальным органом в области разработки веб-стандартов, отвечающим за создание спецификации HTML5.

Повышенные угрозы безопасности

Однако, развивая новые функциональные возможности, HTML 5 также вызывает массу обсуждений среди экспертов по вопросам безопасности: могут ли эти широкие возможности стать причиной уязвимостей в безопасности? Пауль Робертс, специалист по безопасности из Лаборатории Касперского, в прошлом месяце заявил в одном из блогов, что хотя специалисты в области веб-безопасности и согласились с тем, что HTML 5 соответствует нормам безопасности, они также выразили обеспокоенность тем, что новый язык может «значительно увеличить количество атак в HTML» и предоставить больше способов для внедрения вредоносного кода.

Хон Лау, старший менеджер по вопросам безопасности в Symantec, сказал, что «расширенная функциональность часто сопряжена с большими рисками.» Лау объяснил по E-mail, что HTML 5 включает «около 45 новых тегов», таких как <canvas> и <video>, которые позволяют создавать RIA-приложения. «Возможное количество атак возрастает из-за огромного числа изменений в языке», — добавил он.

Гроссман также указал на другую потенциальную угрозу безопасности — утечку данных, когда огромный массив данных пользователя располагается в локальном хранилице. Он объясняет это тем, что в прошлом веб-разработчики могли сохранять небольшой объем данных только в cookies браузера, теперь же с появлением HTML 5 они могут хранить «многие мегабайты данных» на компьютере пользователя для использования в оффлайн-режиме, в том числе и конфиденциальные данные.

Невин Хедж, специалист по анализу рынка в Asia-Pacific software research group (IDC), утверждает, что наиболее частой причиной атак являются попытки доступа злоумышленников к конфиденциальным данным, а с появлением нового стандарта начнутся новые попытки межсайтового скриптинга и SQL-инъекций для получения конфиденциальной информации о пользователях.

Разработчики обязаны устранять риски

По мнению Хеджа разработчики, намеревающиеся работать с HTML 5, должны в первую очередь оценить, насколько новый стандарт может «помочь» злоумышленникам использовать его функции для атак на компьютеры пользователя и веб-сервера.

Лау высказал похожую точку зрения, заметив, что изменения в веб-стандарте могут повлечь за собой новый риски в безопасности, а ответственность за безопасность по-прежнему ложится на разработчиков, и они должны приложить все усилия для уменьшения угрозы атак. Он также советует разработчикам следовать более безопасным принципам кодинга для уменьшения потенциальных рисков в безопасности, таким как улучшенная обработка ошибок и проверка вводимых данных.

Гроссман также посоветовал разработчикам создавать больше резервных копий и сохранять большие объемы потенциально важной информации, содержащейся на компьютерах конечных пользователей. Он пришел к выводу, что так как уязвимости HTML 5 проявятся лишь в будущем, через некоторое время, то дизайнерам и разработчикам HTML 5 «следует быть готовыми для быстрого реагирования», как только возникнут новые проблемы или уязвимости.

Якобс из W3C также отметил важность разработки и построения веб-приложений «с особой деликатностью к данным пользователей и к проблеме обеспечения безопасности».

Лау сказал, что «с точки зрения безопасности проблемы с HTML в прошлом были результатом недостаточной и несогласованной реализации функций, описанных в HTML спецификации, а также непрактичности принципов безопасного кодинга в движках браузеров и плагинов к ним.»

Он характеризует HTML 5, как «реакцию на текущее состояние веб-пространства и эволюцию, которая произошла за последнее десятилетие. Это открытый стандарт, который направлен на увеличение и развитие функционала, предоставляемого предыдущей версией HTML», — говорит он.

Несмотря на потенциальные угрозы безопасности, Гроссман признал, что «HTML 5 удался». «Безопасность как дисциплина должна способствовать развитию технологии и бизнес-приложений, а не угнетать их развитие», — сказал он.

Выразив аналогичное мнение, Якобс уточнил, что HTML 5 пока еще только рабочий проект, но производители браузеров уже реализуют его возможности и функционал, позволяя W3C оценивать и пересматривать свои проекты. «Таким образом, конечный стандарт сможет ясно объяснить разработчикам, на что им следует обратить пристальное внимание в вопросах безопасности и конфиденциальности данных», — заметил он.

Источник:   w3pro.ru