Log ind
Publiceret d. 23. august 2010 kl. 15.31
ANNONCE:
"Web-apps bliver utroligt indholdsrige med HTML5. Browseren begynder at skulle håndtere komplette applikationer og ikke længere blot websider," siger Sid Stamm, som arbejder med sikkerheden i Firefox for Mozilla Foundation.
"Det er en stor angrebsflade, der skal dækkes ind," siger han.
Opera-folk i gang med at rette
Samtidig er udviklerne af browseren Opera i færd med at rette en buffer overflow-sårbarhed, der kan udnyttes ved hjælp af HTML5-funktionen canvas til billedvisning.
Er det uundgåeligt, at World Wide Web Consortiums (W3C) nye sæt af standarder for visning af websider, som samlet kaldes HTML5, bringer en hel ny række sårbarheder med sig?
Flere sikkerhedseksperter mener, at det er tilfældet.
"HTML5 giver nettet en masse nye funktioner og stor styrke. Men man kan gøre meget mere skade med bare almindelig HTML5 og JavaScript, end det nogensinde før har været muligt," siger sikkerhedsanalytiker Lavakumar Kuppan.
"WC3 bygger hele dette omdesign over den idé, at vi vil begynde at køre hele applikationer i browseren, men og vi har bevist i årenes løb, præcist hvor sikre browsere er," påpeger Kevin Johnson, der er penetrationstester hos sikkerhedskonsulenten Secure Ideas. "Vi er nødt til at vende tilbage til en forståelse af browseren som et risikofyldt miljø. Det er et perspektiv, vi har mistet."
Selv om det er navnet på en særlig specifikation, så bruges HTML5 også ofte til at beskrive en samling løst relaterede sæt af standarder, som sammen kan anvendes til at bygge komplette applikationer.
De tilbyder funktionalitet såsom sideformatering, offline lagring af data, dynamisk visning af grafik og mange andre aspekter. (Selvom JavaScript ikke er en W3C-specifikation, så ses det ofte refereret sammen med disse standarder på grund af dets høje udbredelse i udviklingen af web-applikationer.)
Al denne nye funktionalitet er nu ved at blive udforsket af sikkerhedsanalytikere.
Fortsættes ...
|
