Sikkerhedsfirmaet Sophos advarer om mulige sikkerhedsproblemer i HTML5-standarden i en ny analyse. Sophos har tidligere forudsagt, at HTML5 kan udvikle sig til en af de helt store trusler mod virksomhedernes sikkerhed i det kommende år. I denne analyse uddyber firmaets teknologi-direktør James Lyne, hvor de mest alvorlige problemer ligger.
HTML5 kan bruges til at skabe alle former for applikationer, som også fungerer uden internet-forbindelse. Selv Adobe har meldt ud, at man fremover vil satse på HTML5 i stedet for Flash på mobile platforme.
Hver browser har sin egen implementering af HTML5 og den endelige version af standarden er stadig ikke vedtaget, men generelt kan man sige, at browserens rolle bliver forvandlet. Tidligere var browseren kun en "tynd" klient med en lille mængde data, der blev gemt på computeren (primært cookies).
"På det højeste niveau giver HTML5 langt større adgang til computerens ressourcer end sin forgænger, som var et mere simpelt sprog til at beskrive indholdet på websider. Der er indbyggede funktioner til at finde din lokation, gemme data lokalt, behandle og hente systeminformationer. Du kan endda bruge cache-funktionen til at downloade en applikation til din browser for at bruge den offline," skriver Sophos.
Det bliver altså også mere interessant at angribe browseren med HTML5 - dels fordi browseren har større adgang til systemets ressourcer, og dels fordi browseren selv indeholder flere data fra de forskellige webapplikationer. Browseren bliver dermed også selv et direkte mål.
Sophos henviser til, at der mangler standarder for hvordan data i denne applikations-cache skal beskyttes, og man kan frygte at udviklerne finder deres egne metoder, men glemmer at tjekke for mulige sikkerhedshuller.
Privacy er et andet ømt punkt. Der har været meget diskussion omkring cookies i HTML4, men den nye standard indeholder langt flere muligheder for at gemme data om brugeren.
Det er også uklart, hvordan man skal begrænse adgangen til disse data eller slette dem fra browseren - i modsætning til cookies, hvor det er relativt let at slette informationerne.
"Brugerne kan risikere at blive udspioneret med denne nye teknologi mens de traditionelle værktøjer stadig mangler at blive tilpasset til de nye mekanismer," advarer Sophos.
HTML5 definerer adgang til en række API'er til lokale enheder som mikrofoner og kameraer, men her er der risiko for, at angribere kan bruge dette til at aflytte eller filme brugeren.
"Et webbaseret angreb der aktiverer din mikrofon og optager dit møde med din iPad er nok ikke så sjovt," som det hedder i analysen.
Det fremhæves dog, at man i det mindste slipper for mange af de plug-ins, der har skabt sikkerhedsproblemer i de sidste par år.
Mange browsere skaber en form for sandkasse til applikationerne, der skal begrænse deres adgang til resten af systemet. Men med HTML5 kommer browseren selv til at ligne et operativsystem mere og mere. Programmet behøver altså ikke længere "bryde ud af" sandkassen.
Der er også stadig problemer med clickjacking, hvor en angriber kan "tvinge" brugeren til at klikke på et bestemt link.
Sophos understreger at HTML5 ikke er skabt for at forbedre sikkerheden - den nye standard skal gøre web-indholdet mere interaktivt, og det gør browseren til en "fed" klient, der er mere interessant for hackere.
"HTML5 er ikke en truende sikkerheds-katastrofe, men det vil skabe nye udfordringer som enhver anden ny teknologi," slutter Sophos.
