Er HTML5 hackerens bedste ven?

HTML5 skal bane vejen for en bølge af nye webapplikationer, men den skaber også nye sikkerheds-problemer.

Artikel top billede

Sikkerhedsfirmaet Sophos advarer om mulige sikkerhedsproblemer i HTML5-standarden i en ny analyse. Sophos har tidligere forudsagt, at HTML5 kan udvikle sig til en af de helt store trusler mod virksomhedernes sikkerhed i det kommende år. I denne analyse uddyber firmaets teknologi-direktør James Lyne, hvor de mest alvorlige problemer ligger.

HTML5 kan bruges til at skabe alle former for applikationer, som også fungerer uden internet-forbindelse. Selv Adobe har meldt ud, at man fremover vil satse på HTML5 i stedet for Flash på mobile platforme.

Hver browser har sin egen implementering af HTML5 og den endelige version af standarden er stadig ikke vedtaget, men generelt kan man sige, at browserens rolle bliver forvandlet. Tidligere var browseren kun en "tynd" klient med en lille mængde data, der blev gemt på computeren (primært cookies).

"På det højeste niveau giver HTML5 langt større adgang til computerens ressourcer end sin forgænger, som var et mere simpelt sprog til at beskrive indholdet på websider. Der er indbyggede funktioner til at finde din lokation, gemme data lokalt, behandle og hente systeminformationer. Du kan endda bruge cache-funktionen til at downloade en applikation til din browser for at bruge den offline," skriver Sophos.

Det bliver altså også mere interessant at angribe browseren med HTML5 - dels fordi browseren har større adgang til systemets ressourcer, og dels fordi browseren selv indeholder flere data fra de forskellige webapplikationer. Browseren bliver dermed også selv et direkte mål.

Sophos henviser til, at der mangler standarder for hvordan data i denne applikations-cache skal beskyttes, og man kan frygte at udviklerne finder deres egne metoder, men glemmer at tjekke for mulige sikkerhedshuller.

Privacy er et andet ømt punkt. Der har været meget diskussion omkring cookies i HTML4, men den nye standard indeholder langt flere muligheder for at gemme data om brugeren.

Det er også uklart, hvordan man skal begrænse adgangen til disse data eller slette dem fra browseren - i modsætning til cookies, hvor det er relativt let at slette informationerne.

"Brugerne kan risikere at blive udspioneret med denne nye teknologi mens de traditionelle værktøjer stadig mangler at blive tilpasset til de nye mekanismer," advarer Sophos.

HTML5 definerer adgang til en række API'er til lokale enheder som mikrofoner og kameraer, men her er der risiko for, at angribere kan bruge dette til at aflytte eller filme brugeren.

"Et webbaseret angreb der aktiverer din mikrofon og optager dit møde med din iPad er nok ikke så sjovt," som det hedder i analysen.

Det fremhæves dog, at man i det mindste slipper for mange af de plug-ins, der har skabt sikkerhedsproblemer i de sidste par år.

Mange browsere skaber en form for sandkasse til applikationerne, der skal begrænse deres adgang til resten af systemet. Men med HTML5 kommer browseren selv til at ligne et operativsystem mere og mere. Programmet behøver altså ikke længere "bryde ud af" sandkassen.

Der er også stadig problemer med clickjacking, hvor en angriber kan "tvinge" brugeren til at klikke på et bestemt link.

Sophos understreger at HTML5 ikke er skabt for at forbedre sikkerheden - den nye standard skal gøre web-indholdet mere interaktivt, og det gør browseren til en "fed" klient, der er mere interessant for hackere.

"HTML5 er ikke en truende sikkerheds-katastrofe, men det vil skabe nye udfordringer som enhver anden ny teknologi," slutter Sophos.

KMD A/S

Projektleder

Københavnsområdet

Netcompany A/S

Cloud Operations Manager (Azure)

Københavnsområdet

Jyske Bank

Softwareudvikler - .NET/Cloud

Midtjylland

Statens IT

Netscaler specialist til Statens It

Københavnsområdet

Computerworld Events

Vi samler hvert år mere end 6.000 deltagere på mere end 70 events for it-professionelle.

Ekspertindsigt – Lyt til førende specialister og virksomheder, der deler viden om den nyeste teknologi og de bedste løsninger.
Netværk – Mød beslutningstagere, kolleger og samarbejdspartnere på tværs af brancher.
Praktisk viden – Få konkrete cases, værktøjer og inspiration, som du kan tage direkte med hjem i organisationen.
Aktuelle tendenser – Bliv opdateret på de vigtigste dagsordener inden for cloud, sikkerhed, data, AI og digital forretning.

Sikkerhed | Højbjerg, Aarhus

Cyber Security Summit 2026 - Aarhus

Lær om organisationers evne til at modstå, håndtere og komme videre efter alvorlige digitale hændelser, herunder ledelsesansvar, forretningskritiske afhængigheder og de valg, der afgør, om plan B holder, når systemer eller leverandører svigter.

Digital transformation | Aarhus

AI i det offentlige - Aarhus

Hør hvordan offentlige AI-løsninger skaleres til stabil drift med reel effekt. Få erfaringer, arkitekturvalg og styringsgreb fra frontløbere. Lær at bygge fælles AI-infrastruktur med ansvarlighed, sikkerhed og compliance.

Digital transformation | Køge

Derfor skal du videre fra Dynamics AX – og sådan gør du

Computerworld giver klar viden om vejen videre fra Dynamics AX. Du ser forskellen mellem AX og moderne cloud-ERP og får et konkret beslutningsgrundlag for næste skridt. Tilmeld dig og få styr på skiftet til Dynamics 365 FO eller BC.

Se alle vores events inden for it

Navnenyt fra it-Danmark

Pinksky har pr. 1. maj 2026 ansat Alexander Skou Henkel, 39 år,  som Rådgivende konsulent. Han skal især beskæftige sig med optimering af forretningsprocesser i Microsoft platformen. Han kommer fra en stilling som IT forretningskonsulent hos Evobis ApS. Han har tidligere beskæftiget sig med forretningsudvikling i Microsoft platformen. Nyt job
Netip A/S har pr. 1. april 2026 ansat Claus Berg som Account Manager ved netIP's kontor i Esbjerg. Han kommer fra en stilling som Client Manager hos itm8. Nyt job

Claus Berg

Netip A/S

Guardsix har pr. 1. maj 2026 ansat Louise Sara Baunsgaard som Global Marketing & Communications Director. Hun skal især beskæftige sig med at positionere virksomheden som et europæisk alternativ i en tid, hvor cybersikkerhed i høj grad handler om geopolitik. Hun kommer fra en stilling som Co-Founder og CMO hos Get BOB. Hun er uddannet Ba.ling.merc fra CBS og har desuden en Mini MBA i marketing. Hun har tidligere beskæftiget sig med marketing og kommunikation i ledende nordiske roller hos bl.a. Meta og Nets. Nyt job
Elbek & Vejrup A/S har pr. 1. juni 2026 ansat Mikkel Bernt Buchvardt som AI Architect & Product Manager. Han skal især beskæftige sig med udviklingen af AI-Services og AI-Agenter i og omkring Business Central. Han kommer fra en stilling som Lead Data & Analytics hos IBM. Han er uddannet MSc. i softwareudvikling fra ITU. Han har tidligere beskæftiget sig med Data og BI hos KMD og Seges Innovation. Nyt job

Mikkel Bernt Buchvardt

Elbek & Vejrup A/S