Er HTML5 hackerens bedste ven?

HTML5 skal bane vejen for en bølge af nye webapplikationer, men den skaber også nye sikkerheds-problemer.

Artikel top billede

Sikkerhedsfirmaet Sophos advarer om mulige sikkerhedsproblemer i HTML5-standarden i en ny analyse. Sophos har tidligere forudsagt, at HTML5 kan udvikle sig til en af de helt store trusler mod virksomhedernes sikkerhed i det kommende år. I denne analyse uddyber firmaets teknologi-direktør James Lyne, hvor de mest alvorlige problemer ligger.

HTML5 kan bruges til at skabe alle former for applikationer, som også fungerer uden internet-forbindelse. Selv Adobe har meldt ud, at man fremover vil satse på HTML5 i stedet for Flash på mobile platforme.

Hver browser har sin egen implementering af HTML5 og den endelige version af standarden er stadig ikke vedtaget, men generelt kan man sige, at browserens rolle bliver forvandlet. Tidligere var browseren kun en "tynd" klient med en lille mængde data, der blev gemt på computeren (primært cookies).

"På det højeste niveau giver HTML5 langt større adgang til computerens ressourcer end sin forgænger, som var et mere simpelt sprog til at beskrive indholdet på websider. Der er indbyggede funktioner til at finde din lokation, gemme data lokalt, behandle og hente systeminformationer. Du kan endda bruge cache-funktionen til at downloade en applikation til din browser for at bruge den offline," skriver Sophos.

Det bliver altså også mere interessant at angribe browseren med HTML5 - dels fordi browseren har større adgang til systemets ressourcer, og dels fordi browseren selv indeholder flere data fra de forskellige webapplikationer. Browseren bliver dermed også selv et direkte mål.

Sophos henviser til, at der mangler standarder for hvordan data i denne applikations-cache skal beskyttes, og man kan frygte at udviklerne finder deres egne metoder, men glemmer at tjekke for mulige sikkerhedshuller.

Privacy er et andet ømt punkt. Der har været meget diskussion omkring cookies i HTML4, men den nye standard indeholder langt flere muligheder for at gemme data om brugeren.

Det er også uklart, hvordan man skal begrænse adgangen til disse data eller slette dem fra browseren - i modsætning til cookies, hvor det er relativt let at slette informationerne.

"Brugerne kan risikere at blive udspioneret med denne nye teknologi mens de traditionelle værktøjer stadig mangler at blive tilpasset til de nye mekanismer," advarer Sophos.

HTML5 definerer adgang til en række API'er til lokale enheder som mikrofoner og kameraer, men her er der risiko for, at angribere kan bruge dette til at aflytte eller filme brugeren.

"Et webbaseret angreb der aktiverer din mikrofon og optager dit møde med din iPad er nok ikke så sjovt," som det hedder i analysen.

Det fremhæves dog, at man i det mindste slipper for mange af de plug-ins, der har skabt sikkerhedsproblemer i de sidste par år.

Mange browsere skaber en form for sandkasse til applikationerne, der skal begrænse deres adgang til resten af systemet. Men med HTML5 kommer browseren selv til at ligne et operativsystem mere og mere. Programmet behøver altså ikke længere "bryde ud af" sandkassen.

Der er også stadig problemer med clickjacking, hvor en angriber kan "tvinge" brugeren til at klikke på et bestemt link.

Sophos understreger at HTML5 ikke er skabt for at forbedre sikkerheden - den nye standard skal gøre web-indholdet mere interaktivt, og det gør browseren til en "fed" klient, der er mere interessant for hackere.

"HTML5 er ikke en truende sikkerheds-katastrofe, men det vil skabe nye udfordringer som enhver anden ny teknologi," slutter Sophos.

Læses lige nu
    Computerworld Events

    Vi samler hvert år mere end 6.000 deltagere på mere end 70 events for it-professionelle.

    Ekspertindsigt – Lyt til førende specialister og virksomheder, der deler viden om den nyeste teknologi og de bedste løsninger.
    Netværk – Mød beslutningstagere, kolleger og samarbejdspartnere på tværs af brancher.
    Praktisk viden – Få konkrete cases, værktøjer og inspiration, som du kan tage direkte med hjem i organisationen.
    Aktuelle tendenser – Bliv opdateret på de vigtigste dagsordener inden for cloud, sikkerhed, data, AI og digital forretning.

    Sikkerhed | Højbjerg, Aarhus

    Cyber Security Summit 2026 - Aarhus

    Lær om organisationers evne til at modstå, håndtere og komme videre efter alvorlige digitale hændelser, herunder ledelsesansvar, forretningskritiske afhængigheder og de valg, der afgør, om plan B holder, når systemer eller leverandører svigter.

    Digital transformation | Aarhus

    AI i det offentlige - Aarhus

    Hør hvordan offentlige AI-løsninger skaleres til stabil drift med reel effekt. Få erfaringer, arkitekturvalg og styringsgreb fra frontløbere. Lær at bygge fælles AI-infrastruktur med ansvarlighed, sikkerhed og compliance.

    Digital transformation | Køge

    Derfor skal du videre fra Dynamics AX – og sådan gør du

    Computerworld giver klar viden om vejen videre fra Dynamics AX. Du ser forskellen mellem AX og moderne cloud-ERP og får et konkret beslutningsgrundlag for næste skridt. Tilmeld dig og få styr på skiftet til Dynamics 365 FO eller BC.

    Se alle vores events inden for it

    Navnenyt fra it-Danmark

    Sharp Consumer Electronics har pr. 1. april 2026 ansat Daniel Eriksson som salgsdirektør for de nordiske lande. Han skal især beskæftige sig med at accelerere virksomhedens vækst i Norden. Han kommer fra en stilling som nordisk salgsdirektør hos Hisense. Han har tidligere beskæftiget sig med detailhandel, kommerciel strategi og markedsudvidelser med bemærkelsesværdige resultater til følge. Nyt job

    Daniel Eriksson

    Sharp Consumer Electronics

    Freja Egelund Grønnemose, junior automation developer hos WITRICS A/S, har pr. 16. juni 2026 fuldført uddannelsen diplomingeniør i softwareteknologi (B.Eng Software Technology) på Danmarks Tekniske Universitet - DTU. Færdiggjort uddannelse
    Comsystem A/S har pr. 15. april 2026 ansat Iver Jakobsen som Technical Key Account Manager. Han skal især beskæftige sig med teknisk løsningssalg. Iver Jakobsen har 25 års erfaring fra TelCo-branchen. Han kommer fra en stilling som Key Account Manager hos E.ON Drive ApS. Han har tidligere beskæftiget sig med rådgivning og løsningssalg. Nyt job

    Iver Jakobsen

    Comsystem A/S

    Tinne Schjoldan Gyllich, Director, CX & Services (Customer Adoption) hos TDC Erhverv, er pr. 1. juni 2026 forfremmet til Senior Director, Head of Partnerships. Tinne skal fremover især beskæftige sig med at drive strategiske partnerskaber, styrke økosystemet og skabe vækst gennem partnerbaseret omsætning. Forfremmelse