p2h.cn始于05年,最早由来自腾讯,网易的前开发工程师,曾经为美的,格兰仕,电信,陆虎等企业提供过高品质psd转html解决方案。累计300多个客户至今,超过1000多个项目。

专注前端技术,关注用户体验
  • 2012年6月21日

html5的安全性问题

渴切(KeQie.com)报道:html5在这个html5的热潮当中依然保持了较高的热度,很多人对于html5的关注依然没有衰 减,html5在普及到人们生活上面的方方面面的时候,殊不知html5带来的安全隐患。html5固然是有很多的优点的,这一点不可否认,但是就 html5的优点和缺点我们下面做一个详尽的阐述,对比一下html5的好处和坏处。

html5缺点之html5的安全性问题

在大家都在强调html5有多好,都在瞩目html5/css3的时候,html5也被曝出了可能存在的几个安全性的问题 ,这事html5本身优秀的标准的背后存在的一系列的并发症问题,但是并不影响html5的标准规范对未来的影响,我们只需要知道并且加以防范就可以了。

下面的内容并没有使用什么特别的顺序,我们要介绍五种可能会利用HTML5的功能进行攻击的方法:

1, 表单篡改:另一个新功能让攻击者可以在被注入JavaScript的网站(例如XSS攻击)中更改该网页上的表单行为。举例来说,攻击者可以改变一个网络商店的正常行为,不是将内容送到购买或是登录页面,而是将用户的身分认证信息发送到攻击者自己的网站。

2, 利用桌面通知做社会工程学攻击:我们在HTML5 的五大优秀功能文章中曾经提到过HTML5的一个新功能:桌面通知。这些出现在浏览器之外的弹出窗口,其实是可以用HTML程序代码进行定制的。虽然这种 功能带来了很不错的交互方式,但也可能导致社会工程学攻击,例如网络钓鱼或者假冒杀毒软件等。看看下面的图片就可以想象到,攻击者可以如何利用这个新功能 了。

3, 利用地理定位追踪受害者:地理定位是HTML5新功能中最受注目的一个。因为安全和隐私的考虑,网站必须 先得到用户的批准,随后才能获得位置讯息。然而就 和以前出现过的其他功能一样,例如Vista的用户帐户控制,Android的应用程序权限,还有无效的HTTPS凭证等,这些需要用户作决定的安全措施 几乎没有任何效果。而一旦有了授权,网站不仅可以知道受害者的位置,而且还可以在用户移动时对其进行实时追踪。

4, 利用跨域请求或WebSockets的端口扫描:有了HTML5,浏览器现在可以连到任何IP地址或网站 的(几乎)任何端口。虽然除非目标网站有特别的允 许,不然并不能接收到来自任意端口连接的回应,但是研究人员表示,这类请求所花的时间可以用来判断目标端口是打开的还是关闭的。因此攻击者就可以直接利用 浏览器对受害者的内部网络进行端口扫描。

5, 点击劫持更加容易:点击劫持本身不是种新的攻击,这种攻击的目的是窃取受害者的鼠标按钮点击,然后将点击 定向到攻击者所指定的其他页面。攻击者的目的是让 用户在不知情的情况下点击隐藏的链接。目前,对于点击劫持最好的服务器端防御措施之一是被称为Framekilling的技术。本质上来说,受到影响的网 站可以利用JavaScript来验证自己是否在一个iframe中运行,如果是的话,就拒绝显示页面内容。这种技术已经被在用在Facebook、 Gmail和其他一些网站中。但是HTML5在iframe中增加了一个新的沙盒属性,该属性会让网站停止执行JavaScript脚本。在大多数情况 下,这其实是比较安全的做法,但也存在缺点,就是会抵消目前对点击劫持最好的防御措施。

6, 利用桌面通知做社会工程学攻击:我们在HTML5 的五大优秀功能文章中曾经提到过HTML5的一个新功能:桌面通知。这些出现在浏览器之外的弹出窗口,其实是可以用HTML程序代码进行定制的。虽然这种 功能带来了很不错的交互方式,但也可能导致社会工程学攻击,例如网络钓鱼或者假冒杀毒软件等。看看下面的图片就可以想象到,攻击者可以如何利用这个新功能 了。

这里只列了五项HTML5可能导致的新攻击,趋势科技只是概略的描述。请继续收看这一系列的最后一篇:HTML5所带来丑恶的一面,还有我们对 HTML5 攻击所发表的报告。这篇文章是HTML5系列的第二篇。你也可以先看看第一篇:探讨新的HTML5标准,以了解那些能够加强网站互动性的新功 能。而在今 天的这篇文章 里,趋势科技将带领读者看看这些HTML5功能可能被攻击者滥用的方式。这里并不打算详尽的进行举例,但如果有兴趣了解更多内容,我们会在本系列第三篇中 讨论关于HTML5攻击的深入报告。

html5的优缺点对比

W3C 在 HTML 5 proposal 中为 HTML 5 赋予了这样的使命,它将弥补上一代 HTML 的不足,具体说,是实现 Flash, Silverlight, JavaFX 所能实现的功能。 HTML 5,这个 HTML 明日之星是否会改变 Web 应用的游戏规则,是否会让这些富 Web 插件成为历史,InfoWorld 的专栏作家 Paul Krill 为此撰文并作了论述。

HTML 5 的富承诺

Ajaxian 网站的合伙创始人及 Mozilla 开发工具指导员 Dion Almaer 说,在为 Web 提供矢量图形和视频方面,HTML 5 事实上晚了一步。 HTML 5 中,诸如 Canvas 一类的 2D 绘图技术,一直为 Apple, Google, 以及 Mozilla 这类公司所重视(尽管微软也对 HTML 5 的部分功能表示赞赏,但他们至今也不支持 Canvas)。

HTML 5 中,Canvas, 本地存储, Web Workers 一类的功能可以让我们做更多事。另一位Ajaxian 网站的合伙创始人及 Mozilla 开发工具指导员 Ben Galbraith 说,本地存储可以让用户在离线状态下继续使用 Web,而 Web Workers 让下一代 Web 应用中的复杂运算变得轻松,让一些需要很长时间运行的任务在后台运行。

Google Chrome 浏览器 项目经理 Ian Fette 说, Web 应用将变得更有趣,他们会变得更快,会提供更好的用户体验,让在线 Web 应用和桌面应用之间的界限越来越模糊。

HTML 5 的部分功能已经实现

经过5年的工作,HTML 5 细则已于2008年发布,其中的部分细则已经在某些浏览器得以实现,然而 HTML 5 的全部功能仍然不会在近几年内完成。

Mozilla Firefox 项目技术主管 Vlad Vukicevic 说, HTML 5 支持视频,而 Firefox 3.5 也刚刚新加了视频支持,Google Chrome 也支持视频标签,微软在 Internet Explorer 8 中支持某些 HTML 5 功能,如本地存储,AJAX 导航,以及多个 DOM 原型。

Opera 公司的 Web 宣讲人 Molly E. Holzschlag 表示, Opera 支持 Canvas,并计划支持视频。Apple 也在其 Safari 浏览器支持视频和音频标签,以及 Canvas 技术(Canvas 就是苹果发明的)。

HTML 5 的一面: 扔掉那些插件

Almaer 说,尽管 Adobe,微软,SUN (即将成为 Oracle) 这些公司已经分别在 Web 中实现了他们自己的多媒体技术,HTML 5 最终可能抢去他们的饭碗。RedMonk 分析师 Michael Cote 说,本质上,HTML 5 所能做的和这些公司所做的没有区别,JavaFX 也将受到威胁。

HTML 5 细则的合作设计者 Ian Hickson 表示,HTML 5 的目标是将 Web 从那些非开放性富插件中解放出来,他们是独立的提供商,不适合开放的 Web。Hickson 说,使用专门公司的产品对开发的 Web 是一种风险,如果他们停止开发,或开始收费将怎么办?Hickson 补充道,象以前的 Windows 一样,如果我们的主要开发平台控制在单一的供应商手中会是很可怕的。

Firefox 主管 Vukicevic 说,Mozilla 希望保持开放,并保证视频一类的技术不是掌握在某些公司手中,不过 HTML 5 和 Canvas 最终是否能真正取代 Flash,Silverlight 以及 JavaFX,还取决于开发者。Vukicevic 认为,IE8 不支持 HTML 5 的一些功能,对开发者来说是一个问题,鉴于 IE 浏览器到市场份额,开发者要么使用微软的 API 提供额外开发,要么使用 Flash 一类的技术。

几家行业巨头将面临抉择

参与 HTML 5 的公司,大多要么是浏览器厂商,要么是富 Web 应用工具开发商,很少二者都是,微软除外,Almaer 说,微软也将因此进入两难境地,微软在 Silverlight 上花了很大力气,Silverlight 团队存在的意义是为浏览器提供增强,如果 HTML 5 轻易实现了,还要 Silverligth 做什么。

插件的一面: 他们更好,而且已经实现了

尽 管 Adobe, 微软 以及 SUN 都参与了 HTML 5 细则的制定,他们都表示自己的技术是必要的。HTML 5 仍是一个发展中的标准,可能需要5到10年才能最终完成,因此,现在做比较还为时过早。微软发言人表示,Silverlight 仍有必要存在,因为它包含了一些高级功能,如更好的编程模型, C#,3D 功能以及可以在浏览器之外运行的功能。

Adobe 的开发工具副总裁 Dave Story 表示,HTML 5 面临很多挑战,浏览器市场仍然很零散,浏览器之间的兼容问题非常严重,HTML 5 的时间线显示,最终 HTML 5 + CSS 3 可能要 10年的时间才能定稿,在这期间,Flash 会持续发展,并提供更好的用户体验。

SUN 副总裁,也是被号称为 Java 之父的 James Gosling 表示,JavaFX 在渲染,性能,表现方面比 HTML 5 要优秀得多。

分 析师 Cote 表示,目前这些富 Web 插件还没有眼下的威胁,要实现这些插件中的功能还要很多年,他希望即使 HTML 5 发布之后,这些插件技术仍能继续存在。Google 的 Fette 也同意,HTML 5 只是一个起始点,Google 一类的公司还会推出自己的技术,如向 Web 拖放图片的技术。

Google 也将不得不遇到某些抉择,比如,他们的 Youtube 使用 Flash 实现视频,HTML 5 对视频的支持将让他们重新考虑这个问题,他们需要在成本和效益方面艰难抉择。


欢迎转载,转载请注明来源:http://www.p2h.cn/html5-the-security/

相关链接: