当前位置:主页>资 讯>安全动态>

HTML5将给企业安全带来新的挑战

  HTML5被吹捧为AdobeFlash的替代品,它能够更有效地显示音频、图形和视频,但是研究这项技术的安全专家称HTML5将给企业安全带来新的挑战。

  英国安全供应商Sophos公司高级技术专家JamesLyne表示,潜在的HTML5安全问题可能会影响该技术的迅速普及。如果HTML5功能没有进行正确编程,安全漏洞可能使攻击者获取对敏感数据的访问权限。HTML5技术功能丰富,为开发人员提供了本地存储、内置图形渲染和挖掘移动设备的地理定位数据或者在浏览器没有连接到互联网时显示消息的功能。

  “HTML5的所有东西都是本地和内置的,而不需要各种插件,”Lyne表示,“如果我们使用良好的安全模式、良好的权限模式和良好的测试来标准化HTML5技术,那么无论从用户体验还是安全性来看,HTML5绝对是最佳选择。”

  HTML5标准仍然在起草中,不过已经被大部分浏览器制造商采用。Adobe系统公司在11月份宣布,它将不再支持智能手机和平板电脑上的Flash功能,而是支持HTML5。万维网联盟(WorldWideWebConsortium,W3C)也一直在致力于制定标准来改善HTML的功能。

  专家称万维网联盟仍然需要努力解决HTML5的安全和隐私问题。标准并没有解决cookie追踪问题,这是经常被批评的问题,该功能主要用于营销人员追踪个人的浏览习惯。HTML5引入了很多追踪和存储web用户信息的新方式。Lyne表示,清理敏感信息和让用户管理隐私数据并没有得到规范。

  此外,针对Flash应用程序使用的常见攻击技术—Clickjacking可以引诱用户在访问网站或者使用web应用程序时执行恶意代码或者点击恶意链接。浏览器制造商已经部署了很多保护措施来预防大多数clickjacking攻击。

  趋势科技公司高级威胁研究人员Robert McArdle指出,JavaScript形式的clickjacking防御对于HTML5并没有用,HTML5还增加了一个沙箱功能。

  “在很多情况下,这的确更加安全,但是无法利用目前对付clickjacking最强的抵御方法,”McArdle在趋势科技的TrendLabs博客中写道。

  企业还需要才去额外的步骤来防止利用HTML5漏洞的攻击,web内容过滤、防病毒和其他端点安全技术将帮助抵御攻击,Lyne表示。

  “我希望我们能够在各大浏览器间达成一致的安全模式,”Lyne表示,“如果我们让它顺其自然的发展,我相信在HTML5普及的初期将会有一段痛苦时期。”

  此外,开放式Web应用程序安全项目OWASP的成员正在开发开放式Web应用程序安全项目OWASP的成员们正在为应用程序开发人员开发一份HTML5最佳做法文档以及网站。安全测试供应商Veracode公司研究副总裁ChrisEng表示,开发人员可能会关闭那些他们不理解的HTML5功能,而这可能带来安全问题。

  “开发人员可以做的最重要的事情就是记住基本的安全原则,例如,所有用户输入都应视为不可信任的,”Eng表示,“他们应该学习新的HTML5功能的实际作用。”

(责任编辑:)

分享到:

更多
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
表情:
  • 微笑/wx
  • 撇嘴/pz
  • 抓狂/zk
  • 流汗/lh
  • 大兵/db
  • 奋斗/fd
  • 疑问/yw
  • 晕/y
  • 偷笑/wx
  • 可爱/ka
  • 傲慢/am
  • 惊恐/jk
用户名: 验证码:点击我更换图片
资料下载专区
图文资讯

由蜜罐引发的物联网安全小谈

由蜜罐引发的物联网安全小谈

最近几年,物联网正以迅雷不及掩耳之势四处圈地,凡联网之物都能被黑的恶名也如影随形...[详细]

女子傻眼:银行卡刚存30万,瞬间只剩400

女子傻眼:银行卡刚存30万,瞬间只剩400

个人信息被泄露,在这个年代,好像已经屡见不鲜。但昨天,记者从海曙检察院听闻了一个...[详细]

黑客针对香港的网络攻击中利用了新型的IE浏

黑客针对香港的网络攻击中利用了新型的IE浏览器0day

微软公司在昨日修复了漏洞(CNNVD-201508-429),但攻击者已经在进行水坑攻击的过程中利...[详细]

骗子植入手机木马的10大招术:看完你将会“

骗子植入手机木马的10大招术:看完你将会“百毒不侵”

一、冒充移动客服10086 此类案件中,犯罪分子通过技术手段伪装成移动客服10086向不特...[详细]

滴滴打车有漏洞 淘宝买个软件免费打车

滴滴打车有漏洞 淘宝买个软件免费打车

近日,重庆晚报记者接到读者反映,不法商人用黑客软件刷券在淘宝网销售,声称只要几元...[详细]

返回首页 返回顶部