那么,Flash的消失是否是一个安全利好消息?HTML5是否会替代Flash?如果会,那么HTML5安全性能否与Flash对抗?安全人员应该如何做好部署HTML5 Web内容的准备?下面,我们将会针对这些问题展开讨论。
AD:2013云计算架构师峰会课程资料下载
尽管现在所有连接互联网的计算机都安装了Flash(Adobe问题不断的Web多媒体格式),但是似乎它很快就会被新标准HTML5所替代。按照Adobe自己话说,“HTML5现在得到主流移动设备的普遍支持,并成为创建和部署面向移动平台浏览器内容的最佳解决方案。”
对于企业攻击者而言,这无疑是一个坏消息。近几年来,Flash已经成为恶意程序黑客的主要攻击目标。根据安全研究公司WhiteHat Security Inc.的数据,与Flash播放器相关的漏洞占他们发现的Web应用程序漏洞的14%左右。
那么,Flash的消失是否是一个安全利好消息?HTML5是否会替代Flash?如果会,那么HTML5安全性能否与Flash对抗?安全人员应该如何做好部署HTML5 Web内容的准备?下面,我们将会针对这些问题展开讨论。
HTML5得到了许多互联网巨头的支持,包括Facebook、谷歌和PayPal。事实上,它正在成为将来的互联网视频标准,并且会替代所有非标准格式,如Flash和微软的Silverlight。Flash是一种二进制的多媒体内容格式,采用面向对象开发语言ActionScript,需要安装Adobe插件。相反,HTML5是一种开放源码的标记语言,不需要任何插件就能够运行应用程序。删除了视频播放私有插件,也就关上了常见的攻击载体,因为HTML5更新是通过浏览器更新实现的,所以它们的更新速度远远比插件快。然而,HTML5有更多的计算机资源访问权限,包括本地数据存储,从而也成为新的潜在攻击目标。
对于HTML5,我主要担心的是,开发人员在未完全理解它的新特性及安全机制之前,就匆匆在网站上添加HTML5特性。例如,跨域资源共享(CORS)使Web服务器允许其他域名的网页访问自己的资源。CORS放宽了同源访问规则(Same Origin Rule),这是Web浏览器内置的基础安全措施之一。除非开发人员理解CORS的工作原理,否则他们很容易做出错误的假设,使攻击者能够访问所共享的内容。HTML5跨文档消息也有相同的问题。如果使用正确,它会很安全,但是如何开发者不确保消息来自自己的网站,那么其他网站的恶意代码可能会发送欺骗性流氓消息。基本的安全原则是,来自浏览器的数据都应该视为不可信数据,因此必须进行验证。在Web应用程序开发过程中,一定要检查当前的验证过程和过滤器,因为HTML5新元素和属性可能会产生一些意外结果。应用程序内置的基于白名单的过滤器确实更具灵活性。
如果开发者使用技术的方法偏离该技术原来的目标,那么任何技术都可能出现安全漏洞。例如,HTML5 Web存储标准为开发者提供了一种更灵活方法,可以替代Cookie在浏览器上存储数据。当然,存储用户敏感数据存在一定的风险,可能会受到跨站脚本(XSS)的攻击,但是有一些网站已经使用这种技术来存储脚本,以提高页面加载速度。例如:为了节省时间和带宽,前面的Web服务Apture使用一个localStorage对象,缓存它的应用程序逻辑代码,但是与这些脚本在同一个域的页面可能存在XSS漏洞,可能会被利用,向缓存注入恶意代码。利用Apture服务,恶意代码可能会将漏洞变成面向所有域的持久客户端XSS攻击。从第三方提取数据或脚本会创建一种隐含的信任关系。开发者必须认识到这种潜在风险,理解如何在内容放到网站之前对内容进行审查。
6373
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
