HTML5 höjer nya säkerhetsproblem

När det gäller ny säkerhet problem, säkerhetsgruppen för Firefox-webbläsaren har den nya versionen av Web HyperText Markup Language, HTML5, främst i sinnet.

"Webapprogram blir oerhört rika med HTML5. Webbläsaren börjar hantera fullborrningsapplikationer och inte bara webbsidor, säger Sid Stamm, som arbetar med Firefox säkerhetsproblem för Mozilla Foundation. Stamm talade vid Usenix Security Symposium, som hölls i Washington DC i förra veckan

"Det finns mycket attackerytor vi behöver tänka på," sa han.

Samma vecka uttryckte Stamm oro över HTML5, utvecklare av operatörens webbläsare var upptagen med att fixa en sårbarhet för buffertöverflöd som skulle kunna utnyttjas med hjälp av HTML5-kanvasens bildreferensfunktion.

Är det oundvikligt att World Wide Web Consortiums (W3C) nya uppsättning standarder för återgivning av webbsidor, gemensamt kända som HTML5, kommer med ett helt nytt bunt av sårbarheter? Det är åtminstone vissa säkerhetsforskare som tror att det här är fallet.

"HTML5 ger många funktioner och kraft på webben. Du kan göra så mycket mer [skadligt arbete] med vanlig HTML5 och JavaScript nu än någonsin möjligt innan ", säger säkerhetsforskare Lavakumar Kuppan.

W3C är" gearing hela redesignen över idén om att vi ska börja utföra applikationer i webbläsaren, och vi har bevisat genom åren hur säkra webbläsare är ", säger Kevin Johnson, en penetrationstester med säkerhetskonsultföretaget Secure Ideas. "Vi måste gå tillbaka till att förstå att webbläsaren är en skadlig miljö. Vi förlorade platsen för det."

Även om det är namnet på en specifikation, används HTML5 ofta också för att beskriva en samling löst sammanhängande uppsättning av standarder som tillsammans kan användas för att bygga fullfjädrada webbapplikationer. De erbjuder funktioner som sidformatering, offline datalagring, bildöverföring och andra aspekter. (Även om det inte är en W3C-specifik, JavaScript ofta också klumpas i dessa standarder, så mycket som det används för att bygga webbapplikationer).

All denna nya föreslagna funktionalitet börjar bli utforskad av säkerhetsforskare.

Tidigare i sommar, Kuppan och en annan forskare lade fram ett sätt att missbruka HTML5 Offline Application Cache. Google Chrome, Safari, Firefox och beta av Opera-webbläsaren har alla redan implementerat denna funktion och skulle vara sårbara för attacker som använde detta tillvägagångssätt, noterade de.

Forskarna hävdar att eftersom en webbplats kan skapa en cache på Användarens dator, och i vissa webbläsare, gör det utan den användarens uttryckliga tillstånd, kan en angripare skapa en falsk inloggningssida till en webbplats, t.ex. en socialt nätverk eller en e-handelsplats. En sådan falsk sida kan då användas för att stjäla användarens referenser.

Andra forskare delades upp om värdet av detta resultat. "Det är en intressant vridning, men det verkar inte erbjuda nätverksattackare någon extra fördel utöver vad de kan redan uppnå, "skrev Chris Evans på mailinglistan Full Disclosure. Evans är skaparen av programvaran Very Secure File Transfer Protocol (vsftp).

Dan Kaminsky, chefforskare för säkerhetsforskningsföretaget Recursion Ventures, kom överens om att detta arbete är en fortsättning på attacker som utvecklats före HTML5. "Browsare begär inte bara innehåll, gör det och kasta bort det. De lagrar det även för senare användning … Lavakumar observerar att nästa generations caching-teknik har samma egenskaper," sa han i en e-postintervju.

Kritiker var överens om att denna attack skulle förlita sig på en webbplats som inte använder SSL (Secure Sockets Layer) för att kryptera data mellan webbläsaren och webbsidans server, som vanligtvis används. Men även om det här arbetet inte skymde en ny typ av sårbarhet visar det sig att en gammal sårbarhet kan återanvändas i den här nya miljön.

Johnson säger att med HTML5 utgör många av de nya funktionerna egna hot, på grund av hur de ökar antalet sätt som en angripare kan utnyttja användarens webbläsare för att göra skada av något slag.

"I åratal har säkerheten fokuserat på sårbarheter - buffertöverflöden, SQL-injektionsattacker. Vi lappar dem, vi fixar dem, vi övervakar dem, säger Johnson. Men i HTML5-fallet är det ofta funktionerna "som kan användas för att attackera oss", säger han.

Johnson pekar till exempel på Googles Gmail, som är en tidig användare av HTML5: s lokala lagringsmöjligheter. Innan HTML5 kan en angripare ha kunnat stjäla cookies från en maskin och avkoda dem för att få lösenordet för en online-e-posttjänst. Nu måste angriparen bara komma in i användarens webbläsare, där Gmail berättar en kopia av inkorgen.

"Dessa funktionssätt är läskiga", sa han. "Om jag kan hitta en fel i din webbapplikation och injicera HTML5-kod kan jag ändra din webbplats och gömma saker som jag inte vill att du ska se."

Med lokal lagring kan en angripare läsa data från din webbläsare, eller infoga andra data där utan din vetskap. Med geolocation kan en angripare bestämma din plats utan din vetskap. Med den nya versionen av Cascading Style Sheets (CSS) kan en angripare styra vilka element på en CSS-förbättrad sida som du kan se. HTML5 WebSocket levererar en nätverkskommunikationsstack till webbläsaren, vilket kan missbrukas för surreptitiv bakdörrskommunikation.

Detta säger inte att webbläsarskaparna är omedvetna om denna fråga. Även när de arbetar för att lägga till stöd för de nya standarderna, tittar de på sätt att förhindra deras missbruk. Vid Usenix-symposiet noterade Stamm några av de tekniker som Firefox-teamet utforskar för att mildra skador som kan göras med denna nya teknik.

De arbetar till exempel på en alternativ plug-in-plattform, kallad JetPack, som skulle hålla stramare kontroll över vilka åtgärder en plugin kunde genomföra. "Om vi ​​har fullständig kontroll över [applikationsprogrammeringsgränssnittet] kan vi säga" Denna tillägg kräver tillgång till Paypal.com, skulle du tillåta det? "" Stamm sa.

JetPack kan också använda en deklarativ säkerhetsmodell, där plug-in måste deklarera till webbläsaren varje åtgärd som den avser att genomföra. Webbläsaren skulle då övervaka plugin-modulen för att säkerställa att den stannar inom dessa parametrar.

Fortfarande, om webbläsarskapare kan göra tillräckligt för att säkra HTML5, är det fortfarande att se, kritiker strider.

"Företaget måste börja utvärdera om Det är värt dessa funktioner att rulla ut de nya webbläsarna, säger Johnson. "Det här är en av de få gånger du kan höra" Du vet, kanske [Internet Explorer] 6 var bättre. ""

Joab Jackson täcker företagsprogramvara och generell teknikbrytande nyheter för

IDG News Service. Följ Joab på Twitter på @Joab_Jackson. Joabs e-postadress är [email protected]