Computerworld News Service: Når det kommer til spørgsmålet om nye sikkerhedsproblemer, er den nye version af HTML, HTML5, det første, de tænker på i sikkerhedsteamet for browseren Firefox.
"Web-apps bliver utroligt indholdsrige med HTML5. Browseren begynder at skulle håndtere komplette applikationer og ikke længere blot websider," siger Sid Stamm, som arbejder med sikkerheden i Firefox for Mozilla Foundation.
"Det er en stor angrebsflade, der skal dækkes ind," siger han.
Opera-folk i gang med at rette
Samtidig er udviklerne af browseren Opera i færd med at rette en buffer overflow-sårbarhed, der kan udnyttes ved hjælp af HTML5-funktionen canvas til billedvisning.
Er det uundgåeligt, at World Wide Web Consortiums (W3C) nye sæt af standarder for visning af websider, som samlet kaldes HTML5, bringer en hel ny række sårbarheder med sig?
Flere sikkerhedseksperter mener, at det er tilfældet.
"HTML5 giver nettet en masse nye funktioner og stor styrke. Men man kan gøre meget mere skade med bare almindelig HTML5 og JavaScript, end det nogensinde før har været muligt," siger sikkerhedsanalytiker Lavakumar Kuppan.
"WC3 bygger hele dette omdesign over den idé, at vi vil begynde at køre hele applikationer i browseren, men og vi har bevist i årenes løb, præcist hvor sikre browsere er," påpeger Kevin Johnson, der er penetrationstester hos sikkerhedskonsulenten Secure Ideas. "Vi er nødt til at vende tilbage til en forståelse af browseren som et risikofyldt miljø. Det er et perspektiv, vi har mistet."
Selv om det er navnet på en særlig specifikation, så bruges HTML5 også ofte til at beskrive en samling løst relaterede sæt af standarder, som sammen kan anvendes til at bygge komplette applikationer.
De tilbyder funktionalitet såsom sideformatering, offline lagring af data, dynamisk visning af grafik og mange andre aspekter. (Selvom JavaScript ikke er en W3C-specifikation, så ses det ofte refereret sammen med disse standarder på grund af dets høje udbredelse i udviklingen af web-applikationer.)
Al denne nye funktionalitet er nu ved at blive udforsket af sikkerhedsanalytikere.
Sårbar over for angreb
Tidligere på sommeren offentliggjorde Kuppan og en anden sikkerhedsanalytiker en metode til at misbruge HTML5's offline applikationscache.
Chrome, Safari, Firefox og betaversionen af Opera har allerede implementeret denne funktion og vil være sårbare overfor angreb, der anvender denne tilgang, påpeger de.
Fordi ethvert website kan skabe en cache på brugerens computer, og visse browsere kan endda gøre det uden brugeres udtrykkelige tilladelse, så kan en angriber opsætte en falsk login-side til et website såsom et socialt netværk eller et e-handelswebsite.
En sådan falsk side kan således bruges til at stjæle brugerinformation, argumenterer de to sikkerhedsanalytikere. Andre analytikere har delte meninger om værdien af denne indsigt.
"Det er en interessant pointe, men det lader ikke til at give netværksangribere nogen yderligere fordele, udover hvad de allerede kan opnå," skriver Chris Evans på mailinglisten Full Disclosure.
Evans er ophavsmand til Very Secure File Transfer Protocol (vsftp).
Udviklet før HTML5
Dan Kaminsky, der er sikkerhedsanalytiker hos Recursion Ventures, er enig i, at denne tilgang blot er en videreførelse af angreb, der blev udviklet før HTML5.
"Browsere anmoder ikke blot om indhold og viser det for så at smide det væk. De gemmer det også til senere brug ... Lavakumar konstaterer bare, at den næste generation af caching-teknologier har denne samme egenskab," siger han i et interview per e-mail.
Kritikerne er enige om, at dette angreb er afhængig af, at det pågældende site ikke anvender Secure Sockets Layer (SSL) til at kryptere data mellem browseren og websidens server, som det ellers ofte er tilfældet, når der er tale om udveksling af følsomme oplysninger.
Men selvom dette analysearbejde ikke har afdækket en ny type sårbarhed, så har det i det mindste vist, at en gammel sårbarhed kan genbruges i dette nye miljø.
Johnson påpeger, at mange af HTML5's nye funktioner udgør trusler i sig selv, fordi de øger antallet af måder, en angriber kan udnytte brugernes browser til skadelige formål.
"I årevis har sikkerhedstilgangen været fokuseret på sårbarheder - buffer overflows, SQL-injektionsangreb. Vi lapper hullerne, retter koden og holder øje," siger Johnson. Men med HTML5 er det ofte selve funktionerne, "der kan misbruges til at angribe os," mener han.
Lokale lagerfunktioner
Johnson peger som eksempel på Googles Gmail, der er tidligt ude med anvendelsen af HTML5's lokale lager-funktioner.
Før HTML5 var en angriber nødt til at stjæle cookies fra en maskine og afkode dem for at få fat i kodeordet til en webmailtjeneste.
Men nu skal en angriber blot opnå adgang til en brugers browser, hvor Gmail lagrer en kopi af indbakken.
"Disse sæt af funktioner er skræmmende," siger han. "Hvis jeg kan finde en fejl i din webapplikation og indsprøjte HTML5-kode, kan jeg ændre dit website og gemme ting, jeg ikke ønsker, du skal se."
En angriber kan med lokal lagring læse data fra din browser eller indsætte andre data uden din viden. Med geolocation kan en angriber afgøre din geografiske placering uden du selv er klar over, at det sker.
Med den nye version af Cascading Style Sheets (CSS) kan en angriber kontrollere, hvilke elementer, du kan se af en webside, der anvender CSS.
HTML5's WebSocket-protokol leverer tovejs-netværkskommunikation, som kan misbruges til hemmelig kommunikation via en bagdør.
Hermed ikke sagt, at browserproducenterne ikke er klar over udfordringerne.
Samtidig med at de arbejder på at understøtte de nye standarder, søger de efter måder at forhindre misbrug.
Ved Usenix Security Symposium fremhævede Stamm nogle af de løsninger, som Firefox-teamet er ved at udforske.
De arbejder eksempelvis på en alternativ plugin-platform ved navn JetPack, der holder strammere kontrol med hvilke handlinger et plugin kan udføre.
"Hvis vi har fuldstændig kontrol over en API, er vi i stand til at spørger brugeren 'Denne tilføjelse anmoder om adgang til Paypal.com, vil du tillade det?'" forklarer Stamm.
JetPack kan også anvende en såkaldt deklarativ sikkerhedsmodel, hvormed plugin'et tvinges til at deklarere samtlige af dens handlinger til browseren. Browseren overvåger hermed plugin'et for at sikre, at den holder sig inden for disse parametre.
Kritikerne mener dog, at det stadig er et åbent spørgsmål, om browserproducenterne formår at gøre HTML5 sikker.
Oversat af Thomas Bøndergaard
