Artikel top billede

Er HTML5 hackerens bedste ven?

HTML5 skal bane vejen for en bølge af nye webapplikationer, men den skaber også nye sikkerheds-problemer.

Sikkerhedsfirmaet Sophos advarer om mulige sikkerhedsproblemer i HTML5-standarden i en ny analyse. Sophos har tidligere forudsagt, at HTML5 kan udvikle sig til en af de helt store trusler mod virksomhedernes sikkerhed i det kommende år. I denne analyse uddyber firmaets teknologi-direktør James Lyne, hvor de mest alvorlige problemer ligger.

HTML5 kan bruges til at skabe alle former for applikationer, som også fungerer uden internet-forbindelse. Selv Adobe har meldt ud, at man fremover vil satse på HTML5 i stedet for Flash på mobile platforme.

Hver browser har sin egen implementering af HTML5 og den endelige version af standarden er stadig ikke vedtaget, men generelt kan man sige, at browserens rolle bliver forvandlet. Tidligere var browseren kun en "tynd" klient med en lille mængde data, der blev gemt på computeren (primært cookies).

"På det højeste niveau giver HTML5 langt større adgang til computerens ressourcer end sin forgænger, som var et mere simpelt sprog til at beskrive indholdet på websider. Der er indbyggede funktioner til at finde din lokation, gemme data lokalt, behandle og hente systeminformationer. Du kan endda bruge cache-funktionen til at downloade en applikation til din browser for at bruge den offline," skriver Sophos.

Det bliver altså også mere interessant at angribe browseren med HTML5 - dels fordi browseren har større adgang til systemets ressourcer, og dels fordi browseren selv indeholder flere data fra de forskellige webapplikationer. Browseren bliver dermed også selv et direkte mål.

Sophos henviser til, at der mangler standarder for hvordan data i denne applikations-cache skal beskyttes, og man kan frygte at udviklerne finder deres egne metoder, men glemmer at tjekke for mulige sikkerhedshuller.

Privacy er et andet ømt punkt. Der har været meget diskussion omkring cookies i HTML4, men den nye standard indeholder langt flere muligheder for at gemme data om brugeren.

Det er også uklart, hvordan man skal begrænse adgangen til disse data eller slette dem fra browseren - i modsætning til cookies, hvor det er relativt let at slette informationerne.

"Brugerne kan risikere at blive udspioneret med denne nye teknologi mens de traditionelle værktøjer stadig mangler at blive tilpasset til de nye mekanismer," advarer Sophos.

HTML5 definerer adgang til en række API'er til lokale enheder som mikrofoner og kameraer, men her er der risiko for, at angribere kan bruge dette til at aflytte eller filme brugeren.

"Et webbaseret angreb der aktiverer din mikrofon og optager dit møde med din iPad er nok ikke så sjovt," som det hedder i analysen.

Det fremhæves dog, at man i det mindste slipper for mange af de plug-ins, der har skabt sikkerhedsproblemer i de sidste par år.

Mange browsere skaber en form for sandkasse til applikationerne, der skal begrænse deres adgang til resten af systemet. Men med HTML5 kommer browseren selv til at ligne et operativsystem mere og mere. Programmet behøver altså ikke længere "bryde ud af" sandkassen.

Der er også stadig problemer med clickjacking, hvor en angriber kan "tvinge" brugeren til at klikke på et bestemt link.

Sophos understreger at HTML5 ikke er skabt for at forbedre sikkerheden - den nye standard skal gøre web-indholdet mere interaktivt, og det gør browseren til en "fed" klient, der er mere interessant for hackere.

"HTML5 er ikke en truende sikkerheds-katastrofe, men det vil skabe nye udfordringer som enhver anden ny teknologi," slutter Sophos.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Edgemo A/S
Salg af hardware, software, konsulentydelser og services inden for virtualiseret infrastruktur, cloud, datacenteret og unified communication.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Hjemmearbejdets påvirkning på trivsel, helbred og arbejdsmiljø

Fremtidens arbejdsplads er hybrid, det er der ingen tvivl om. Men hvad fører det egentlig med sig? Og hvordan omstiller du og din arbejdsplads sig til det? Det kan du blive klogere på, på denne digitale konference.

02. februar 2022 | Læs mere


GDPR - persondatabeskyttelse i praksis

Håndteringen af persondata og GDPR er for længst blevet hverdag hos de danske organisationer, men derfor er det til stadighed vigtigt og altafgørende, at den løbende overholdelse af GDPR er på plads. Vær med og hør, hvordan du ved hjælp af processuelle greb, værktøjer og systemer kan sikre dette.

08. februar 2022 | Læs mere


Analytics, BI og data science: Data-behandling i realtid

Datadrevne løsninger er godt på vej til at vinde indpas i næsten alle industrier - og med god grund. For der er store muligheder i at kunne forstå, fortolke og reagere lynhurtigt på de store datamængder, som alle organisationer genererer. På dette seminar kan du høre om nogle af de bedste eksempler inden for praktisk anvendelse af avanceret data-analyse, hvordan du kommer i gang, og hvordan du kan høste udbytte.

22. februar 2022 | Læs mere






CIO
Sådan tager top-CIO Pernille Geneser livtag med 40 år gamle it-systemer i Stark Group med 10.000 medarbejdere