讓瀏覽器既愛(ài)又恨的HTML5

Win7之家（ afsion.com.cn）：讓瀏覽器既愛(ài)又恨的HTML5

         面對(duì)新的安全問(wèn)題，瀏覽器的安全團(tuán)隊(duì)想到了使用新版本的網(wǎng)絡(luò)超文本標(biāo)記語(yǔ)言HTML5。

　　“HTML5的網(wǎng)絡(luò)應(yīng)用程序非常豐富，該瀏覽器正開(kāi)始試圖管理十分繁雜的應(yīng)用程序，而不僅僅是網(wǎng)頁(yè)，”Mozilla安全問(wèn)題專(zhuān)家Sid Stamm近日在華盛頓召開(kāi)的Usenix安全專(zhuān)題討論會(huì)上表示。

　　“也就是說(shuō)我們有一個(gè)很大的攻擊面需要考慮，”他說(shuō)道，而同時(shí)他又表示了對(duì)HTML5的擔(dān)憂，Opera瀏覽器的開(kāi)發(fā)人員正在積極修復(fù)一個(gè)緩沖區(qū)溢出漏洞，這個(gè)漏洞可能使用HTML5的畫(huà)布圖像渲染功能被利用。

　　萬(wàn)維網(wǎng)聯(lián)盟(W3C)發(fā)布新一套渲染網(wǎng)頁(yè)標(biāo)準(zhǔn)(統(tǒng)稱(chēng)為HTML5)不可避免地會(huì)帶來(lái)全新的安全漏洞嗎?至少有一部分安全研究人員正在考慮這個(gè)問(wèn)題。 

       “HTML5為網(wǎng)絡(luò)世界帶來(lái)了很多功能和能量，黑客們現(xiàn)在可以更多地對(duì)HTML5和JavaScript發(fā)動(dòng)惡意攻擊，甚至比以往任何時(shí)候都要容易，”安全研究人員Lavakumar Kuppan表示。

　　“W3C的重新設(shè)計(jì)是考慮到我們將開(kāi)始在瀏覽器內(nèi)執(zhí)行應(yīng)用程序，多年以來(lái)，我們已經(jīng)見(jiàn)證了瀏覽器的安全性，”安全咨詢(xún)公司Secure Ideas滲透測(cè)試員Kevin Johnson表示，“我們必須回過(guò)頭來(lái)理解，瀏覽器是一種惡意環(huán)境。”

　　雖然按照慣例被命名為HTML5，HTML5也常用來(lái)形容相互關(guān)聯(lián)標(biāo)準(zhǔn)套的集合，這些標(biāo)準(zhǔn)聯(lián)合的話，可以用來(lái)構(gòu)建成熟的網(wǎng)絡(luò)應(yīng)用程序。它們提供的功能包括頁(yè)面格式化、離線數(shù)據(jù)存儲(chǔ)、圖像移交和其他功能。

　　所有這些新的功能將開(kāi)始接受安全研究人員的研究。

　　在今年夏天，Kuppan和另一位安全研究人員公布了濫用HTML5離線應(yīng)用程序緩存的方法，谷歌Chrome、Safari、Firefox和Opera瀏覽器測(cè)試版都已經(jīng)部署了這個(gè)功能，并且都很容易被這種方法攻擊。

　　研究人員認(rèn)為，這是因?yàn)槿魏尉W(wǎng)站都可以在用戶(hù)的計(jì)算機(jī)上創(chuàng)建一個(gè)緩存，并且，在某些瀏覽器中，這種緩存創(chuàng)建根本沒(méi)有得到用戶(hù)的明確許可，攻擊者可以設(shè)置到一個(gè)網(wǎng)站的假的登錄頁(yè)面，例如社交網(wǎng)站或者電子商務(wù)網(wǎng)站，隨后這種假冒頁(yè)面可以被用來(lái)竊取用戶(hù)的登錄憑證信息。

　　其他研究人員則對(duì)這一發(fā)現(xiàn)的價(jià)值持不同意見(jiàn)。

　　“這是一個(gè)有趣的問(wèn)題，但它似乎并沒(méi)有為網(wǎng)絡(luò)攻擊者提供比現(xiàn)在更多的額外利用價(jià)值，”Chris Evans表示，他是VSFTP軟件的創(chuàng)造者。

　　安全研究公司Recursion Ventures公司的首席研究人員Dan Kaminsky贊同這種說(shuō)法，他認(rèn)為這種攻擊是對(duì)HTML5出現(xiàn)前的攻擊的延續(xù)。“瀏覽器并不只是請(qǐng)求內(nèi)容、渲染內(nèi)容并把內(nèi)容扔掉，瀏覽器還會(huì)存儲(chǔ)內(nèi)容以備日后使用，Lavakumar觀察到這個(gè)新一代緩存技術(shù)也將會(huì)有同樣的特點(diǎn)。”

　　評(píng)論家一致認(rèn)為，這種攻擊將依賴(lài)于沒(méi)有使用SSL來(lái)加密瀏覽器和網(wǎng)頁(yè)服務(wù)器間的數(shù)據(jù)的網(wǎng)站，這種網(wǎng)站也很常見(jiàn)。但即使這種攻擊沒(méi)有發(fā)掘出新的漏洞類(lèi)型，它也確實(shí)表明以前的漏洞在這種新環(huán)境中仍然可以被利用。

　　Johnson表示，對(duì)于HTML5，很多新功能都會(huì)對(duì)其自身的安全構(gòu)成威脅，因?yàn)檫@些新功能增加了攻擊者利用用戶(hù)的瀏覽器發(fā)動(dòng)某種形式的攻擊的幾率。

　　“多年以來(lái)，安全問(wèn)題都集中在漏洞緩沖區(qū)溢出和SQL注入攻擊上，我們必須修復(fù)這些漏洞，并且監(jiān)控這些漏洞，”Johnson表示。但是對(duì)于HTML5而言，通常是它本身的功能“可以用來(lái)攻擊我們”。

　　例如，Johnson指出谷歌的Gmail，這是HTML5本地存儲(chǔ)功能的早期使用者。在HTML5之前，攻擊者可能必須竊取計(jì)算機(jī)的cookies，然后進(jìn)行解碼以獲取在線電子郵箱服務(wù)的密碼�，F(xiàn)在，攻擊者只需要獲取到用戶(hù)瀏覽器的信息就能發(fā)動(dòng)攻擊，因?yàn)樵?a target="_blank" >瀏覽器中，Gmail存儲(chǔ)了收件箱的副本。

　　“這些功能集是很可怕的，”他表示，“如果我能夠在你的網(wǎng)絡(luò)應(yīng)用程序中找到一個(gè)漏洞，并且注入HTML5代碼，我就能修改你的網(wǎng)站并且隱藏我不想讓你看到的內(nèi)容。”

　　對(duì)于本地存儲(chǔ)，攻擊者可以從你的瀏覽器讀取數(shù)據(jù)，或者在你不知情的情況下插入其他數(shù)據(jù)。對(duì)于地理位置，攻擊者可以在你不知情的情況下確定你的位置。對(duì)于新版本的CSS(層疊樣式表)，攻擊者可以控制你能夠看見(jiàn)的CSS增強(qiáng)網(wǎng)頁(yè)的要素。HTML5的WebSocket向瀏覽器提供了一種網(wǎng)絡(luò)通信協(xié)議棧，這可以被濫用來(lái)秘密的后門(mén)通信。

　　這并不是說(shuō)瀏覽器制造商無(wú)視于這個(gè)問(wèn)題。即使他們必須為這個(gè)新標(biāo)準(zhǔn)增加新支持，他們正在努力尋找方法來(lái)防止攻擊者的濫用。在Usenix安全專(zhuān)題座談會(huì)上，Stamm指出火狐團(tuán)隊(duì)正在研究的用以緩解這種針對(duì)HTML5新技術(shù)的攻擊的技術(shù)。

　　例如，他們正在研究一種替代插件平臺(tái)，被稱(chēng)為JetPack，這個(gè)平臺(tái)將可以嚴(yán)格控制插件執(zhí)行的行動(dòng)，“如果我們能夠完全控制應(yīng)用程序編程接口，我們就可以說(shuō)‘這個(gè)插件正在訪問(wèn)某某網(wǎng)站，是否允許’，”Stamm表示。

　　JetPack也可以使用一種聲明式安全模式，即插件必須向瀏覽器聲明它將執(zhí)行的行動(dòng)，然后瀏覽器會(huì)監(jiān)測(cè)插件來(lái)確保它位于這些參數(shù)間。

　　不過(guò)，評(píng)論家認(rèn)為，瀏覽器制造商是否可以采取更多有效措施來(lái)確保HTML5的安全仍然還有待觀察。

　　“企業(yè)已經(jīng)開(kāi)始評(píng)估是否應(yīng)該使用這些新功能來(lái)應(yīng)用于瀏覽器，”Johnson表示，“這種時(shí)候，可能聽(tīng)到平時(shí)決不可能聽(tīng)到的話，‘IE6可能比較好’。”