HTML5 løfter nye sikkerhetsproblemer

Når det gjelder ny sikkerhet problemer, sikkerhetslaget for Firefox-nettleseren har den nye versjonen av Web HyperText Markup Language, HTML5, fremfor alt på sinnet.

"Webapps blir utrolig rik med HTML5. Nettleseren begynner å administrere fullborede applikasjoner og ikke bare nettsider, "sa Sid Stamm, som jobber med Firefox sikkerhetsproblemer for Mozilla Foundation. Stamm snakket på Usenix Security Symposium, som ble holdt i Washington DC i forrige uke.

"Det er mye angrep overflate vi trenger å tenke på," sa han.

Samme uke uttrykte Stamm bekymring over HTML5, utviklere av Opera-nettleseren var opptatt med å fikse et sikkerhetsproblem som kunne utnyttes ved hjelp av HTML5-lerretets bildegengivelsesfunksjon.

Er det uunngåelig at World Wide Web Consortiums (W3C) nye sett med standarder for gjengivelse av nettsider, samlet kjent som HTML5, kommer med et helt nytt bunt av sårbarheter? I det minste tenker noen sikkerhetsforskere på at dette er tilfellet.

"HTML5 gir mange funksjoner og kraft på nettet. Du kan gjøre så mye mer [ondsinnet arbeid] med vanlig HTML5 og JavaScript nå, enn det var mulig før, sier sikkerhetsforsker Lavakumar Kuppan.

W3C er "gearing hele redesignet over ideen om at vi skal begynne å utføre applikasjoner i nettleseren, og vi har bevist i løpet av årene hvor sikre nettlesere er," sa Kevin Johnson, en penetrasjonstester med sikkerhetsrådgivende firma Secure Ideas. "Vi må gå tilbake til å forstå at nettleseren er et ondsinnet miljø. Vi mistet stedet for det."

Selv om det er navnet på en spesifikasjon på egenhånd, er HTML5 også ofte brukt til å beskrive en samling av løst sammenhengende sett av standarder som sammen kan brukes til å bygge fullverdige webapplikasjoner. De tilbyr muligheter som sideformatering, frakoblet datalagring, bildeoverføring og andre aspekter. (Selv om det ikke er en W3C-spesifikasjon, er JavaScript også ofte klumpet i disse standardene, så mye brukt det er å bygge webapplikasjoner).

Denne nye foreslåtte funksjonaliteten begynner å bli utforsket av sikkerhetsforskere.

Tidligere i sommer, Kuppan og en annen forsker har lagt ut en måte å misbruke HTML5 Offline Application Cache. Google Chrome, Safari, Firefox og beta av Opera-nettleseren har alle allerede implementert denne funksjonen, og ville være sårbare for angrep som brukte denne tilnærmingen, bemerket de.

Forskerne hevder at fordi et hvilket som helst nettsted kan opprette en cache på Brukerens datamaskin, og i noen nettlesere, gjør det uten at brukerens eksplisitte tillatelse, kan en angriper opprette en falsk påloggingsside til et nettsted som et nettsamfunn for sosiale nettverk eller e-handel. En slik falsk side kan da brukes til å stjele brukerens legitimasjon.

Andre forskere ble delt om verdien av dette funnet.

"Det er en interessant vri, men det ser ikke ut til å tilby nettverksangrepere noen ekstra fordel utover hva de kan allerede oppnå, "skrev Chris Evans på Full Disclosure mailinglisten. Evans er opphavsmann til programvaren Very Secure File Transfer Protocol (vsftp).

Dan Kaminsky, sjefforsker for sikkerhetsforskningsfirmaet Recursion Ventures, ble enige om at dette arbeidet er en fortsettelse av angrep utviklet før HTML5. "Browsere krever ikke bare innhold, gjengir det og kaster det bort. De lagrer det også for senere bruk … Lavakumar ser på at neste generasjons caching-teknologier har samme egenskaper," sa han i et e-postintervju.

Kritikere var enige om at dette angrepet ville stole på et nettsted som ikke bruker Secure Sockets Layer (SSL) for å kryptere data mellom nettleseren og websideserveren, som ofte blir praktisert. Men selv om dette arbeidet ikke skjedde en ny type sårbarhet, viser det at et gammelt sårbarhet kan gjenbrukes i dette nye miljøet.

Johnson sier at med HTML5 utgjør mange av de nye funksjonene seg selv, på grunn av hvordan de øker antall måter en angriper kan utnytte brukerens nettleser til å gjøre skade av noe slag.

"I årevis har sikkerheten fokusert På sårbarheter - bufferoverløp, SQL-injeksjonsangrep. Vi lapper dem, vi fikser dem, vi overvåker dem, sier Johnson. Men i HTML5-saken er det ofte funksjonene selv "som kan brukes til å angripe for oss," sa han.

Johnson peker til eksempel på Googles Gmail, som er en tidlig bruker av HTML5s lokale lagringsfunksjoner. Før HTML5 kan en angriper måtte stjele informasjonskapsler fra en maskin og dekode dem for å få passordet for en elektronisk e-posttjeneste. Nå må angriperen bare få tilgang til brukerens nettleser, der Gmail forteller en kopi av innboksen.

"Disse funksjonene er skummel," sa han. "Hvis jeg kan finne en feil i webapplikasjonen din og injisere HTML5-kode, kan jeg endre nettstedet ditt og skjule ting jeg ikke vil at du skal se."

Med lokal lagring kan en angriper lese data fra nettleseren din, eller sett inn andre data der uten din kunnskap. Med geografisk plassering kan en angriper bestemme plasseringen din uten din kunnskap. Med den nye versjonen av Cascading Style Sheets (CSS), kan en angriper kontrollere hvilke elementer av en CSS-forbedret side du kan se. HTML5 WebSocket leverer en nettverkskommunikasjonsstabel til nettleseren, som kan bli misbrukt for surreptitiv bakdørskommunikasjon.

Dette er ikke å si at nettleserne er uvitende om dette problemet. Selv når de jobber for å legge til støtte for de nye standardene, ser de på måter å forhindre misbruk. På Usenix-symposiet noterte Stamm noen av de teknikkene som Firefox-teamet undersøker for å redusere skade som kan gjøres med disse nye teknologiene.

De jobber for eksempel på en alternativ plug-in-plattform, kalt JetPack, som ville holde strengere kontroll over hvilke handlinger en plugin kunne utføre. "Hvis vi har full kontroll over [Programmeringsgrensesnittet], kan vi si" Denne tillegget ber om tilgang til Paypal.com, vil du tillate det? "" Stamm sa.

JetPack kan også bruke en deklarativ sikkerhetsmodell, der plugin-modulen må deklarere til nettleseren hver handling den har til hensikt å gjennomføre. Nettleseren vil da overvåke plugin-modulen for å sikre at den forblir innenfor disse parametrene.

Fortsatt, om nettverksbyggerne kan gjøre nok for å sikre HTML5, er det fortsatt å se, kritiserer.

"Bedriften må begynne å vurdere om Det er verdt disse funksjonene å rulle ut de nye nettleserne, sier Johnson. "Dette er en av de få ganger du kan høre." Du vet, kanskje [Internet Explorer] 6 var bedre. ""

Joab Jackson dekker enterprise software og generell teknologi breaking news for IDG News Service. Følg Joab på Twitter på @Joab_Jackson. Joabs e-postadresse er [email protected]