HTML5 เพิ่มประเด็นด้านความปลอดภัยใหม่ ๆ

เมื่อพูดถึงเรื่องความปลอดภัยใหม่ ปัญหาทีมรักษาความปลอดภัยสำหรับเบราว์เซอร์ Firefox มี Web HyperText Markup Language รุ่นใหม่ HTML5 เป็นสิ่งสำคัญในใจ

"แอพพลิเคชันเว็บกำลังเติบโตอย่างเหลือเชื่อด้วย HTML5 เบราว์เซอร์เริ่มจัดการแอพพลิเคชันเต็มรูปแบบ ไม่ใช่แค่เว็บเพจเท่านั้น "Sid Stamm ผู้ซึ่งทำงานเกี่ยวกับประเด็นด้านความปลอดภัยของ Firefox สำหรับ Mozilla Foundation กล่าว Stamm กำลังพูดในที่ประชุม Usenix Security Symposium ที่จัดขึ้นเมื่อสัปดาห์ที่แล้วที่กรุงวอชิงตัน ดี.ซี.

"มีพื้นที่โจมตีจำนวนมากที่เราต้องนึกถึง" เขากล่าว "ในช่วงเวลาเดียวกัน Stamm ได้แสดงความกังวลต่อ HTML5 นักพัฒนาซอฟต์แวร์ เบราว์เซอร์ Opera กำลังยุ่งอยู่กับการแก้ไขช่องโหว่ของหน่วยความจำล้นซึ่งอาจใช้ประโยชน์ได้โดยใช้คุณลักษณะการแสดงผลภาพ Canvas HTML5

เป็นไปไม่ได้ที่ชุดมาตรฐานใหม่สำหรับเวิร์ลไวด์เว็บสเปรดชีต (W3C) สำหรับการแสดงผลเว็บเพจ เป็น HTML5, มาพร้อมกับกลุ่มใหม่ของช่องโหว่? อย่างน้อยที่สุดนักวิจัยด้านความปลอดภัยบางคนคิดว่าเป็นกรณีนี้

"HTML5 มีคุณสมบัติและพลังในการทำงานบนเว็บมากคุณสามารถทำ [งานที่เป็นอันตรายได้] ด้วย HTML5 และ JavaScript ตอนนี้กว่าที่เคยเป็นมาก่อน "นักวิจัยด้านความปลอดภัย Lavakumar Kuppan กล่าวว่า

W3C กล่าวว่า" W3C กำลัง "ออกแบบใหม่ทั้งหมดด้วยแนวคิดที่ว่าเราจะเริ่มใช้งานแอพพลิเคชั่นภายในเบราว์เซอร์และเราได้พิสูจน์ว่าเบราว์เซอร์ปลอดภัยเป็นเวลาหลายปี" ผู้ทดสอบการเจาะระบบด้วย บริษัท ที่ปรึกษาด้านความปลอดภัย Secure Ideas "เราต้องกลับไปทำความเข้าใจเบราว์เซอร์ว่าเป็นสภาพแวดล้อมที่เป็นอันตรายเราจึงสูญเสียไซต์"

แม้ว่าจะเป็นชื่อของข้อกำหนดในตัวเอง แต่ HTML5 ก็มักใช้ในการอธิบายถึงชุดของชุดที่สัมพันธ์กันอย่างหลวม ๆ ของมาตรฐานที่นำมารวมกันสามารถใช้เพื่อสร้างโปรแกรมประยุกต์ที่เต็มเปี่ยมเว็บ พวกเขามีความสามารถเช่นการจัดรูปแบบหน้าการจัดเก็บข้อมูลแบบออฟไลน์การแสดงภาพและด้านอื่น ๆ (แม้ว่าจะไม่ใช่ข้อมูลจำเพาะของ W3C แต่ JavaScript มักถูกรวมอยู่ในมาตรฐานเหล่านี้บ่อยๆซึ่งใช้กันอย่างแพร่หลายในการสร้างเว็บแอพพลิเคชัน)

การทำงานที่เสนอใหม่นี้เริ่มสำรวจโดยนักวิจัยด้านความปลอดภัย

ช่วงต้นฤดูร้อนนี้, Kuppan และนักวิจัยอีกคนหนึ่งได้โพสต์วิธีการใช้ Cache Application แบบ HTML5 ในทางที่ผิด Google Chrome, Safari, Firefox และเบต้าของเบราเซอร์ Opera มีคุณลักษณะทั้งหมดที่ใช้งานอยู่แล้วและจะเสี่ยงต่อการโจมตีที่ใช้วิธีนี้นักวิจัยตั้งข้อสังเกตว่าเนื่องจากเว็บไซต์ใด ๆ สามารถสร้างแคชได้ คอมพิวเตอร์ของผู้ใช้และในเบราว์เซอร์บางประเภททำได้โดยไม่ได้รับอนุญาตอย่างชัดแจ้งจากผู้ใช้รายดังกล่าวผู้โจมตีสามารถตั้งค่าหน้าล็อกอินปลอมเข้าสู่ไซต์เช่นเครือข่ายทางสังคมหรือไซต์อีคอมเมิร์ซได้ หน้าปลอมดังกล่าวอาจถูกนำมาใช้เพื่อขโมยข้อมูลรับรองของผู้ใช้

นักวิจัยคนอื่น ๆ ถูกแบ่งเกี่ยวกับคุณค่าของข้อค้นพบนี้

"มันเป็นเรื่องที่น่าสนใจ แต่ดูเหมือนจะไม่ทำให้ผู้โจมตีเครือข่ายได้รับประโยชน์เพิ่มเติมนอกเหนือจากสิ่งที่ "คริสอีแวนส์เขียนไว้ในรายชื่อการเปิดเผยข้อมูลแบบเต็มรูปแบบ Evans เป็นผู้สร้างซอฟต์แวร์ Veryft File Transfer Protocol (vsftp)

Dan Kaminsky หัวหน้านักวิทยาศาสตร์ของ บริษัท วิจัยด้านความปลอดภัย Recursion Ventures ตกลงว่างานนี้เป็นความต่อเนื่องของการโจมตีที่พัฒนาขึ้นก่อน HTML5 "เบราว์เซอร์ไม่เพียงต้องการเนื้อหาทำให้มันและโยนมันไปพวกเขายังเก็บไว้เพื่อใช้ในภายหลัง … Lavakumar สังเกตว่าเทคโนโลยีแคชรุ่นถัดไปประสบลักษณะเดียวกันนี้" เขากล่าวในการสัมภาษณ์ทางอีเมล นักวิจารณ์ยอมรับว่าการโจมตีครั้งนี้จะขึ้นอยู่กับไซต์ที่ไม่ได้ใช้ Secure Sockets Layer (SSL) ในการเข้ารหัสข้อมูลระหว่างเบราว์เซอร์และเซิร์ฟเวอร์ของเว็บเพจซึ่งมีการปฏิบัติกันอย่างแพร่หลาย แม้ว่าจะไม่ได้มีการค้นพบช่องโหว่แบบใหม่ แต่ก็แสดงให้เห็นว่าช่องโหว่เก่าสามารถนำกลับมาใช้ซ้ำได้ในสภาพแวดล้อมใหม่นี้

จอห์นสันกล่าวว่าด้วย HTML5 คุณลักษณะใหม่ ๆ เหล่านี้เป็นภัยคุกคามของตัวเองเนื่องจากวิธีเพิ่มจำนวนผู้บุกรุกสามารถใช้เบราว์เซอร์ของผู้ใช้เพื่อทำอันตรายบางอย่าง

"ในหลายปีที่ผ่านมาความปลอดภัยได้มุ่งเน้น เกี่ยวกับช่องโหว่ - บัฟเฟอร์ล้น, การโจมตี SQL injection เราแก้ไขพวกเขาเราแก้ไขพวกเราตรวจสอบพวกเขา "จอห์นสันกล่าวว่า แต่ในกรณีของ HTML5 มักเป็นคุณลักษณะที่เรียกว่า "สามารถใช้โจมตีเราได้" เขากล่าว

ตัวอย่างเช่น Johnson ชี้ไปที่ Gmail ของ Google ซึ่งเป็นผู้ใช้งานระบบจัดเก็บข้อมูลในท้องถิ่นของ HTML5 ก่อน ก่อน HTML5 ผู้โจมตีอาจต้องขโมยคุกกี้ออกจากเครื่องและถอดรหัสเพื่อรับรหัสผ่านสำหรับบริการอีเมลออนไลน์ ขณะนี้ผู้บุกรุกต้องการเพียงเพื่อเข้าสู่เบราว์เซอร์ของผู้ใช้ซึ่ง Gmail เห็นสำเนาของกล่องจดหมาย

"ชุดคุณลักษณะเหล่านี้น่ากลัว" เขากล่าว "ถ้าฉันสามารถหาช่องโหว่ในเว็บแอ็พพลิเคชันของคุณและใส่โค้ด HTML5 ได้ฉันสามารถแก้ไขไซต์ของคุณและซ่อนสิ่งที่ฉันไม่ต้องการให้คุณเห็น"

ด้วยที่เก็บข้อมูลในตัวเครื่องผู้โจมตีสามารถอ่านข้อมูลจากเบราเซอร์ของคุณได้ หรือใส่ข้อมูลอื่น ๆ โดยที่คุณไม่รู้ ด้วยตำแหน่งทางภูมิศาสตร์ผู้โจมตีสามารถระบุตำแหน่งของคุณได้หากคุณไม่ทราบ ด้วย Cascading Style Sheets (CSS) เวอร์ชันใหม่ผู้โจมตีสามารถควบคุมองค์ประกอบต่างๆของหน้าเว็บที่ปรับปรุงด้วย CSS ซึ่งคุณสามารถดูได้ HTML5 WebSocket จัดให้มีการสื่อสารแบบเครือข่ายกับเบราว์เซอร์ซึ่งอาจใช้ผิดวัตถุประสงค์เพื่อการสื่อสารลับๆลับๆ

ไม่ได้หมายความว่าผู้ผลิตเบราว์เซอร์ไม่สนใจปัญหานี้ แม้ในขณะที่พวกเขาทำงานเพื่อเพิ่มการสนับสนุนมาตรฐานใหม่ ๆ พวกเขากำลังมองหาวิธีที่จะป้องกันการใช้ผิดประเภทของพวกเขา ที่งานสัมมนา Usenix Stamm ได้กล่าวถึงเทคนิคบางอย่างที่ทีมงาน Firefox สำรวจเพื่อลดความเสียหายที่อาจเกิดขึ้นกับเทคโนโลยีใหม่ ๆ เหล่านี้

ตัวอย่างเช่นพวกเขากำลังทำงานบนแพลตฟอร์ม plug-in อื่นที่เรียกว่า JetPack ว่า จะควบคุมการทำงานของปลั๊กอินที่เข้มงวดมากขึ้น "ถ้าเรามีสิทธิ์ควบคุม [application programming interface] ได้อย่างสมบูรณ์เราสามารถพูดได้ว่า 'Add-on นี้กำลังร้องขอการเข้าถึง Paypal.com คุณจะอนุญาตหรือไม่?'" Stamm กล่าว "

JetPack อาจใช้ รูปแบบการรักษาความปลอดภัยที่เปิดเผยซึ่งปลั๊กอินจะต้องประกาศให้แต่ละเบราว์เซอร์ดำเนินการตามที่ตั้งใจไว้ เบราว์เซอร์จะตรวจสอบปลั๊กอินเพื่อให้แน่ใจว่าจะอยู่ภายในพารามิเตอร์เหล่านี้

ยังคงไม่ว่าผู้ผลิตเบราว์เซอร์สามารถทำอะไรได้เพียงพอหรือไม่เพื่อรักษาความปลอดภัย HTML5 นักวิจารณ์ยังคงโต้แย้งอยู่ "

" องค์กรต้องเริ่มต้นการประเมินว่า มันมีค่าคุณสมบัติเหล่านี้จะแผ่ออกเบราว์เซอร์ใหม่ "จอห์นสันกล่าวว่า "นี่เป็นหนึ่งในไม่กี่ครั้งที่คุณอาจได้ยินว่า" คุณรู้ไหมว่า [Internet Explorer] 6 ดีกว่า ""

Joab Jackson ครอบคลุมซอฟต์แวร์องค์กรและข่าวเทคโนโลยีทั่วไปสำหรับข่าว

IDG News Service

. ติดตาม Joab ทางทวิตเตอร์ที่ @Joab_Jackson ที่อยู่อีเมลของ Joab คือ [email protected]