HTML5, Yeni Güvenlik Sorunlarını Arttırıyor

Yeni güvenlik söz konusu olduğunda Firefox tarayıcısı için güvenlik ekibi, Web HyperText Markup Language, HTML5'in yeni versiyonunu aklınızda bulundurmaktadır.

"Web uygulamaları HTML5 ile inanılmaz derecede zengin hale geliyor. Tarayıcı, tam kapsamlı uygulamaları yönetmeye başlıyor ve sadece Web sayfalarını değil, "Mozilla Vakfı için Firefox güvenlik sorunları üzerinde çalışan Sid Stamm. Stamm, geçen hafta Washington DC'de yapılan Usenix Güvenlik Sempozyumu'nda konuşuyordu

"Üzerinde düşünmemiz gereken çok fazla saldırı yüzeyi var" dedi.

Aynı hafta Stax, HTML5 üzerinde endişeler dile getirdi, geliştiriciler Opera tarayıcısının HTML5 kanvas görüntü işleme özelliği kullanılarak istismar edilebilecek bir arabellek taşması güvenlik açığı gidermekle meşguldü.

Dünya Çapındaki Web Konsorsiyumunun (W3C) topluca bilinen Web sayfalarını oluşturmaya yönelik yeni standartlar dizisi olması kaçınılmaz mı? HTML5 olarak, tamamen yeni bir güvenlik açığı paketi ile birlikte gelir misiniz? En azından bazı güvenlik araştırmacıları bunun böyle olduğunu düşünüyorlar.

"HTML5, Web'e çok sayıda özellik ve güç getiriyor. Daha önce mümkün olandan daha fazla [kötü amaçlı çalışmayı] düz HTML5 ve JavaScript ile yapabilirsiniz., "güvenlik araştırmacısı Lavakumar Kuppan.

" dedi. W3C "tarayıcıda uygulamaları başlatmaya başlayacağımız düşüncesiyle bu yeniden tasarımın tamamını güçlendiriyor ve yıllar içinde tarayıcıların ne kadar güvenli olduğunu kanıtladık" diyor Kevin Johnson, Güvenlik danışmanlık şirketi Güvenli Fikirler ile bir penetrasyon test cihazı. "Tarayıcının kötü niyetli bir ortam olduğunu anlamak için geri dönmeliyiz. Bunu kaybettik."

Tek başına bir belirtimin adı olmasına rağmen, HTML5 aynı zamanda genellikle birbiriyle ilişkili bir dizi kümeyi tanımlamak için de kullanılır. Bir araya getirilen standartların, tam teşekküllü web uygulamaları oluşturmak için kullanılabileceği. Sayfa formatlama, çevrimdışı veri depolama, görüntü sunumu ve diğer konular gibi özellikler sunarlar. (W3C spesifikasyonu olmasa da, JavaScript de bu standartlarda sıkça kullanılıyor, bu yüzden yaygın olarak Web uygulamalarını oluşturmakta kullanılıyor.)

Bu yeni işlevsellik, güvenlik araştırmacıları tarafından araştırılmaya başlandı.

Bu yaz daha önce, Kuppan ve başka bir araştırmacı HTML5 Çevrimdışı Uygulama Önbelleği'ni kötüye kullanmanın bir yolunu yayınladı. Google Chrome, Safari, Firefox ve Opera tarayıcısının beta sürümü bu özelliği zaten uygulamış ve bu yaklaşımı kullanan saldırılara karşı savunmasız kalacaklarını belirttiler.

Araştırmacılar, herhangi bir Web sitesinin bir önbellek oluşturabileceğini savunuyorlar. Kullanıcının bilgisayarı ve bazı tarayıcılarda, kullanıcının izinsiz izni olmadan, bir saldırgan, bir sosyal ağ veya e-ticaret sitesi gibi bir siteye sahte bir giriş sayfası oluşturabilir. Böyle bir sahte sayfa daha sonra kullanıcının kimlik bilgilerini çalmak için kullanılabilir.

Diğer araştırmacılar bu bulgunun değeri hakkında bölünmüştü.

"Bu ilginç bir büküm ama ağ saldırganlarına herhangi bir ek avantaj sağlamanın ötesinde bir şey sunmuyor gibi görünüyor. Şimdiden elde edebilirler, "Chris Evans'ı Full Disclosure e-posta listesine yazdı. Evans, Çok Güvenli Dosya Aktarım Protokolü (vsftp) yazılımının yaratıcısıdır.

Güvenlik araştırma firması Recursion Ventures'ın baş bilimcisi Dan Kaminsky, bu çalışmanın HTML5'ten önce geliştirilen saldırıların devamı olduğunu kabul etti. "Tarayıcılar sadece içerik istemiyorlar, üretmiyorlar ve atmıyorlar. Daha sonra kullanmak üzere saklıyorlar … Lavakumar, yeni nesil önbellek teknolojilerinin aynı özelliği taşıdığını gözlemliyor," diyerek bir e-posta röportajında

Eleştirmenler, bu saldırının, yaygın olarak uygulanan tarayıcı ve Web sayfası sunucusu arasındaki verileri şifrelemek için Güvenli Yuva Katmanı (SSL) kullanmayan bir siteye güveneceğini kabul etti. Ancak bu çalışma yeni bir tür güvenlik açığını ortaya çıkarmasa bile, bu yeni ortamda eski bir savunmasızlığın yeniden kullanılabileceğini gösteriyor.

Johnson, HTML5 ile, yeni özelliklerin çoğunun, bir saldırganın, kullanıcının tarayıcısını bir çeşit zarardan korumak için kullanabileceği yol sayısını nasıl artırdıklarına bağlı olarak, kendi başına tehdit oluşturduğunu söylüyor.

"Yıllarca güvenlik odaklı Johnson açıkları - güvenlik açıkları üzerinde - arabellek taşmaları, SQL enjeksiyon saldırıları. Biz onları yamalar, biz onları izleriz, onları izleriz. Ancak, HTML5'in durumunda, çoğu zaman kendilerine "bize saldırmak için kullanılabilecek" özelliklerden bahseder.

Örneğin, Johnson, Google'ın HTML5'in yerel depolama yeteneklerinin eski bir kullanıcısı olan Gmail'ini işaret ediyor. HTML5'ten önce, bir saldırganın bir makineden çerezleri çalması ve çevrimiçi bir e-posta servisinin şifresini almak için şifrelerini çözmesi gerekebilir. Artık saldırganın yalnızca kullanıcının tarayıcısına giriş yapması gerekiyor. Burada Gmail gelen kutusunun bir kopyasını veriyor.

"Bu özellik setleri korkutucu" dedi. "Web uygulamanızda bir kusur bulabilir ve HTML5 kodu enjekte edebilirsem, sitenizi değiştirebilir ve görmek istemediğim şeyleri gizleyebilirim."

Yerel depolama ile, bir saldırgan tarayıcınızdan veri okuyabilir veya bilginiz olmadan başka verileri buraya ekleyin. Coğrafi konum ile, bir saldırgan konumunuzu bilginiz olmadan belirleyebilir. Basamaklı Stil Sayfaları'nın (CSS) yeni sürümü ile bir saldırgan, görebileceğiniz CSS-geliştirilmiş sayfasının hangi öğelerini kontrol edebilir. HTML5 WebSocket tarayıcıya bir ağ iletişim yığını sağlar, bu da arka planda gizli iletişim için kötüye kullanılabilir.

Bu, tarayıcı üreticilerinin bu sorundan habersiz olduğu anlamına gelmez. Yeni standartların desteğini eklemek için çalıştıkları gibi, kötüye kullanımlarını önlemenin yollarını arıyorlar. Usenix sempozyumunda, Stamm, Firefox ekibinin bu yeni teknolojilerle yapılabilecek hasarı hafifletmek için araştırdığı tekniklerden bazılarına dikkat çekti.

Örneğin, JetPack adı verilen alternatif bir plug-in platformu üzerinde çalışıyorlar. Bir eklentinin hangi eylemleri gerçekleştirebileceğini daha sıkı kontrol eder. "Uygulama programlama arayüzünün tam kontrolünü elimizde tutuyorsak," Bu eklenti Paypal.com'a erişim talep ediyor, izin verir misiniz? "Diyebiliriz." Stamm dedi.

JetPack ayrıca kullanabilir Eklentinin, üstlenmek istediği her eylemi tarayıcıya bildirmesi gereken bir bildirim güvenlik modeli. Tarayıcı daha sonra bu parametreler içinde kalmasını sağlamak için eklentiyi izleyecektir.

Yine de, tarayıcı üreticilerinin HTML5'i güvenceye almak için yeterli yapıp yapamayacağı konusunda eleştiriler de devam ediyor.

"İşletme," Johnson, yeni tarayıcıları kullanıma sunmak için bu özelliklere değer. "Bu duyabileceğiniz birkaç şeyden biri. 'Biliyorsunuz, belki [Internet Explorer 6] daha iyiydi." "

Joab Jackson, kurumsal yazılımları ve için en son teknoloji haberlerini kapsar. IDG News Service. @Joab_Jackson'da Twitter'dan Joab'ı takip edin. Joab'ın e-posta adresi [email protected]