讓瀏覽器既愛又恨的HTML5

2010/8/30 9:45:08    編輯:軟媒 - vivi     字體:【

Win7之家afsion.com.cn):讓瀏覽器既愛又恨的HTML5

         面對(duì)新的安全問題,瀏覽器的安全團(tuán)隊(duì)想到了使用新版本的網(wǎng)絡(luò)超文本標(biāo)記語言HTML5。

  “HTML5的網(wǎng)絡(luò)應(yīng)用程序非常豐富,該瀏覽器正開始試圖管理十分繁雜的應(yīng)用程序,而不僅僅是網(wǎng)頁,”Mozilla安全問題專家Sid Stamm近日在華盛頓召開的Usenix安全專題討論會(huì)上表示。

  “也就是說我們有一個(gè)很大的攻擊面需要考慮,”他說道,而同時(shí)他又表示了對(duì)HTML5的擔(dān)憂,Opera瀏覽器的開發(fā)人員正在積極修復(fù)一個(gè)緩沖區(qū)溢出漏洞,這個(gè)漏洞可能使用HTML5的畫布圖像渲染功能被利用。

  萬維網(wǎng)聯(lián)盟(W3C)發(fā)布新一套渲染網(wǎng)頁標(biāo)準(zhǔn)(統(tǒng)稱為HTML5)不可避免地會(huì)帶來全新的安全漏洞嗎?至少有一部分安全研究人員正在考慮這個(gè)問題。 

       “HTML5為網(wǎng)絡(luò)世界帶來了很多功能和能量,黑客們現(xiàn)在可以更多地對(duì)HTML5和JavaScript發(fā)動(dòng)惡意攻擊,甚至比以往任何時(shí)候都要容易,”安全研究人員Lavakumar Kuppan表示。

  “W3C的重新設(shè)計(jì)是考慮到我們將開始在瀏覽器內(nèi)執(zhí)行應(yīng)用程序,多年以來,我們已經(jīng)見證了瀏覽器的安全性,”安全咨詢公司Secure Ideas滲透測(cè)試員Kevin Johnson表示,“我們必須回過頭來理解,瀏覽器是一種惡意環(huán)境。”

  雖然按照慣例被命名為HTML5,HTML5也常用來形容相互關(guān)聯(lián)標(biāo)準(zhǔn)套的集合,這些標(biāo)準(zhǔn)聯(lián)合的話,可以用來構(gòu)建成熟的網(wǎng)絡(luò)應(yīng)用程序。它們提供的功能包括頁面格式化、離線數(shù)據(jù)存儲(chǔ)、圖像移交和其他功能。

  所有這些新的功能將開始接受安全研究人員的研究。



  在今年夏天,Kuppan和另一位安全研究人員公布了濫用HTML5離線應(yīng)用程序緩存的方法,谷歌Chrome、Safari、Firefox和Opera瀏覽器測(cè)試版都已經(jīng)部署了這個(gè)功能,并且都很容易被這種方法攻擊。

  研究人員認(rèn)為,這是因?yàn)槿魏尉W(wǎng)站都可以在用戶的計(jì)算機(jī)上創(chuàng)建一個(gè)緩存,并且,在某些瀏覽器中,這種緩存創(chuàng)建根本沒有得到用戶的明確許可,攻擊者可以設(shè)置到一個(gè)網(wǎng)站的假的登錄頁面,例如社交網(wǎng)站或者電子商務(wù)網(wǎng)站,隨后這種假冒頁面可以被用來竊取用戶的登錄憑證信息。

  其他研究人員則對(duì)這一發(fā)現(xiàn)的價(jià)值持不同意見。

  “這是一個(gè)有趣的問題,但它似乎并沒有為網(wǎng)絡(luò)攻擊者提供比現(xiàn)在更多的額外利用價(jià)值,”Chris Evans表示,他是VSFTP軟件的創(chuàng)造者。

  安全研究公司Recursion Ventures公司的首席研究人員Dan Kaminsky贊同這種說法,他認(rèn)為這種攻擊是對(duì)HTML5出現(xiàn)前的攻擊的延續(xù)。“瀏覽器并不只是請(qǐng)求內(nèi)容、渲染內(nèi)容并把內(nèi)容扔掉,瀏覽器還會(huì)存儲(chǔ)內(nèi)容以備日后使用,Lavakumar觀察到這個(gè)新一代緩存技術(shù)也將會(huì)有同樣的特點(diǎn)。”

  評(píng)論家一致認(rèn)為,這種攻擊將依賴于沒有使用SSL來加密瀏覽器和網(wǎng)頁服務(wù)器間的數(shù)據(jù)的網(wǎng)站,這種網(wǎng)站也很常見。但即使這種攻擊沒有發(fā)掘出新的漏洞類型,它也確實(shí)表明以前的漏洞在這種新環(huán)境中仍然可以被利用。

  Johnson表示,對(duì)于HTML5,很多新功能都會(huì)對(duì)其自身的安全構(gòu)成威脅,因?yàn)檫@些新功能增加了攻擊者利用用戶的瀏覽器發(fā)動(dòng)某種形式的攻擊的幾率。

  “多年以來,安全問題都集中在漏洞緩沖區(qū)溢出和SQL注入攻擊上,我們必須修復(fù)這些漏洞,并且監(jiān)控這些漏洞,”Johnson表示。但是對(duì)于HTML5而言,通常是它本身的功能“可以用來攻擊我們”。

  例如,Johnson指出谷歌的Gmail,這是HTML5本地存儲(chǔ)功能的早期使用者。在HTML5之前,攻擊者可能必須竊取計(jì)算機(jī)的cookies,然后進(jìn)行解碼以獲取在線電子郵箱服務(wù)的密碼,F(xiàn)在,攻擊者只需要獲取到用戶瀏覽器的信息就能發(fā)動(dòng)攻擊,因?yàn)樵?a target="_blank" >瀏覽器中,Gmail存儲(chǔ)了收件箱的副本。

  “這些功能集是很可怕的,”他表示,“如果我能夠在你的網(wǎng)絡(luò)應(yīng)用程序中找到一個(gè)漏洞,并且注入HTML5代碼,我就能修改你的網(wǎng)站并且隱藏我不想讓你看到的內(nèi)容。”

  對(duì)于本地存儲(chǔ),攻擊者可以從你的瀏覽器讀取數(shù)據(jù),或者在你不知情的情況下插入其他數(shù)據(jù)。對(duì)于地理位置,攻擊者可以在你不知情的情況下確定你的位置。對(duì)于新版本的CSS(層疊樣式表),攻擊者可以控制你能夠看見的CSS增強(qiáng)網(wǎng)頁的要素。HTML5的WebSocket向瀏覽器提供了一種網(wǎng)絡(luò)通信協(xié)議棧,這可以被濫用來秘密的后門通信。

  這并不是說瀏覽器制造商無視于這個(gè)問題。即使他們必須為這個(gè)新標(biāo)準(zhǔn)增加新支持,他們正在努力尋找方法來防止攻擊者的濫用。在Usenix安全專題座談會(huì)上,Stamm指出火狐團(tuán)隊(duì)正在研究的用以緩解這種針對(duì)HTML5新技術(shù)的攻擊的技術(shù)。

  例如,他們正在研究一種替代插件平臺(tái),被稱為JetPack,這個(gè)平臺(tái)將可以嚴(yán)格控制插件執(zhí)行的行動(dòng),“如果我們能夠完全控制應(yīng)用程序編程接口,我們就可以說‘這個(gè)插件正在訪問某某網(wǎng)站,是否允許’,”Stamm表示。

  JetPack也可以使用一種聲明式安全模式,即插件必須向瀏覽器聲明它將執(zhí)行的行動(dòng),然后瀏覽器會(huì)監(jiān)測(cè)插件來確保它位于這些參數(shù)間。

  不過,評(píng)論家認(rèn)為,瀏覽器制造商是否可以采取更多有效措施來確保HTML5的安全仍然還有待觀察。

  “企業(yè)已經(jīng)開始評(píng)估是否應(yīng)該使用這些新功能來應(yīng)用于瀏覽器,”Johnson表示,“這種時(shí)候,可能聽到平時(shí)決不可能聽到的話,‘IE6可能比較好’。”