Artikel top billede

Er HTML5 hackerens bedste ven?

HTML5 skal bane vejen for en bølge af nye webapplikationer, men den skaber også nye sikkerheds-problemer.

Sikkerhedsfirmaet Sophos advarer om mulige sikkerhedsproblemer i HTML5-standarden i en ny analyse. Sophos har tidligere forudsagt, at HTML5 kan udvikle sig til en af de helt store trusler mod virksomhedernes sikkerhed i det kommende år. I denne analyse uddyber firmaets teknologi-direktør James Lyne, hvor de mest alvorlige problemer ligger.

HTML5 kan bruges til at skabe alle former for applikationer, som også fungerer uden internet-forbindelse. Selv Adobe har meldt ud, at man fremover vil satse på HTML5 i stedet for Flash på mobile platforme.

Hver browser har sin egen implementering af HTML5 og den endelige version af standarden er stadig ikke vedtaget, men generelt kan man sige, at browserens rolle bliver forvandlet. Tidligere var browseren kun en "tynd" klient med en lille mængde data, der blev gemt på computeren (primært cookies).

"På det højeste niveau giver HTML5 langt større adgang til computerens ressourcer end sin forgænger, som var et mere simpelt sprog til at beskrive indholdet på websider. Der er indbyggede funktioner til at finde din lokation, gemme data lokalt, behandle og hente systeminformationer. Du kan endda bruge cache-funktionen til at downloade en applikation til din browser for at bruge den offline," skriver Sophos.

Det bliver altså også mere interessant at angribe browseren med HTML5 - dels fordi browseren har større adgang til systemets ressourcer, og dels fordi browseren selv indeholder flere data fra de forskellige webapplikationer. Browseren bliver dermed også selv et direkte mål.

Sophos henviser til, at der mangler standarder for hvordan data i denne applikations-cache skal beskyttes, og man kan frygte at udviklerne finder deres egne metoder, men glemmer at tjekke for mulige sikkerhedshuller.

Privacy er et andet ømt punkt. Der har været meget diskussion omkring cookies i HTML4, men den nye standard indeholder langt flere muligheder for at gemme data om brugeren.

Det er også uklart, hvordan man skal begrænse adgangen til disse data eller slette dem fra browseren - i modsætning til cookies, hvor det er relativt let at slette informationerne.

"Brugerne kan risikere at blive udspioneret med denne nye teknologi mens de traditionelle værktøjer stadig mangler at blive tilpasset til de nye mekanismer," advarer Sophos.

HTML5 definerer adgang til en række API'er til lokale enheder som mikrofoner og kameraer, men her er der risiko for, at angribere kan bruge dette til at aflytte eller filme brugeren.

"Et webbaseret angreb der aktiverer din mikrofon og optager dit møde med din iPad er nok ikke så sjovt," som det hedder i analysen.

Det fremhæves dog, at man i det mindste slipper for mange af de plug-ins, der har skabt sikkerhedsproblemer i de sidste par år.

Mange browsere skaber en form for sandkasse til applikationerne, der skal begrænse deres adgang til resten af systemet. Men med HTML5 kommer browseren selv til at ligne et operativsystem mere og mere. Programmet behøver altså ikke længere "bryde ud af" sandkassen.

Der er også stadig problemer med clickjacking, hvor en angriber kan "tvinge" brugeren til at klikke på et bestemt link.

Sophos understreger at HTML5 ikke er skabt for at forbedre sikkerheden - den nye standard skal gøre web-indholdet mere interaktivt, og det gør browseren til en "fed" klient, der er mere interessant for hackere.

"HTML5 er ikke en truende sikkerheds-katastrofe, men det vil skabe nye udfordringer som enhver anden ny teknologi," slutter Sophos.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Daxiomatic ApS
Salg, udvikling, implementering og servicering af software til ERP

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Brand din forretning og skab nye leads med Microsoft Dynamics 365 til marketing

Vidste du, at Microsoft Dynamics også byder på stærk funktionalitet til marketingafdelingen? På kun 1 1/2 time inspirerer vi dig til, hvordan du kan bruge Dynamics 365 Marketing til at brande din forretning og skabe nye leads.

17. maj 2021 | Læs mere


Vælg den rigtige infrastruktur og it-arkitektur

Få indblik i, hvordan du kan sikre sammenhæng og overblik i et it-landksab, der konstant ændres. Dette kan blandt andet gøres med de rette strategisk og teknologiske vlag, så effektiviteten, stabiliteten og sikkerheden opretholdes. Den rigtige infrastruktur og it-arkitektur kan uden tvivl hjælpe dig med at skabe overblikket over dit it-landskab.

18. maj 2021 | Læs mere


Digital transformation og innovation: Inspiration til digitale succeshistorier

Kom ind bag facaden hos nogle af Danmarks bedste it-folk, og lær hvordan de arbejder med digital transformation og innovation. Du får muligheden for at høre, hvordan du kan bruge den nye teknologi til at få etableret det mest effektive udviklings- og innovationsmilø.

19. maj 2021 | Læs mere






Premium
Kombit har fundet leverandør til udbud på 120 millioner kroner: Her er vinderen af udbuddet om Nemrefusion 3.0
Der er nu fundet en vinder af udbuddet om Nemrefusion 3.0, der skal løses de samme opgaver, som den tidligere udgave systemet, men bliver mere moderne og brugervenlig.
Computerworld
Stor krise i den danske it-stjerne David Heinemeiers Hanssons firma: Her er historien om dramaet, der fik en tredjedel af de ansatte i Basecamp til at smække med døren
De ansatte har i hobe forladt David Heinemeier Hanssons amerikanske succes-firma Basecamp efter en intern racisme-debat. Hvordan kunne det gå så galt?
CIO
Har du rost din mellemleder i dag? Snart er de uddøde - og det er et tab
Computerworld mener: Mellemledere lever livet farligt: Topledelsen får konstant ideer med skiftende hold i virkeligheden, og moden går mod flade agile organisationer. Men mellemlederen er en overset hverdagens helt med et kæmpe ansvar. Her er min hyldest til den ofte latterliggjorte mellemleder.
Job & Karriere
Eva Berneke stopper som topchef i KMD og flytter til Paris: Her er KMD's nye topchef
Efter syv år på posten som topchef for KMD forlader Eva Berneke selskabet. Nu flytter hun med familien til Paris, hvor hun vil fortsætte sit bestyrelsesarbejde. KMD har allerede afløser på plads.
White paper
Sådan sikrer du hovednøglen til jeres data
80% af alle ransomwareangreb skyldes misbrug af privilegerede brugeradgange. Ved at begrænse og overvåge adfærden på de privilegerede konti samt kontrollere mængden af tildelte rettigheder kan du mindske skaden ved hackerangreb mod din virksomhed og i visse tilfælde helt blokere dem. Internt kan du bruge kontrollen med brugeradgange til at dokumentere, hvem der bevæger sig i hvilke systemer, og hvad der foregår derinde. Privilegeret brugerstyring har de seneste to år stået øverst på Gartners Top10-liste over it-sikkerhedsprojekter, der bør få højeste prioritet. Alligevel er teknologien kun så småt ved at finde fodfæste i Danmark. Det kan viden om åbenlyse gevinster, relativ kort implementeringstid og yderst rimeligt budget være med til at ændre på. I dette whitepaper folder vi temaet privilegeret brugerstyring ud og placerer teknologien i det væld af prioriteringer, som CISO’en hver dag skal foretage.