Připravte se na hrozby spojené s HTML5

Jiří Novák | 05.12.2011 | Analýzy, Bezpečnost | Žádné komentáře

Posun k nové revizi jazyka HTML5 znamená sice nové možnosti v podobě webových aplikací, ale i příchod nové generace hrozeb, které se stanou výzvou pro IT profesionály a bezpečnostní manažery ve firmách, tvrdí britská společnost Sophos.

Ve svojí bezpečnostní predikci pro rok 2012 Sophos upozorňuje na nové hrozby spojené s webem a síťovými technologiemi, zejména pak v souvislosti s HTML5. Spolu s novou revizí jazyka HTML lze očekávat rychlý vývoj nových vektorů pro útok, na které IT odborníci v podnicích nemusí být zatím dostatečně připraveni.

HTML4 bylo vůdčí technologií webu po mnoho let, ale díky svojí až příliš velké jednoduchosti byli nuceni vývojáři využívat ve webových stránkách další technologie, jako třeba Flash, Google Gears nebo JavaScript. Ty se ale staly častým terčem útoků, které podle Sophosu udělaly celý ekosystém značně zranitelný. HTML5 umožňuje většinu těchto technologií třetích stran úspěšně eliminovat, protože se jedná o mnohem sofistikovanější jazyk s plnou podporou databází, animací, 3D grafiky či off-line provozu, což dává možnost vytvořit třeba celý systém 3D virtuální reality nebo provozovat aplikace přímo v prohlížeči jen za použití HTML. Podle Jamese Lynea, senior technologa společnosti Sophos, je ale právě off-line ukládání dat v rámci prohlížeče jedním z hlavních lákadel kyberútočníků a dalších zločinců.

Lyne tvrdí, že tradičně byl internetový prohlížeč branou pro útočníky pro napadnutí PC, ale nyní se stává cílem samotným ve snaze kyberkriminálníků ukrást z něj uživatelská data. Tím se na výrobce browserů výrazně přesouvá zodpovědnost za celkovou úroveň zabezpečení.

Bezpečnostní experti již opakovaně předvedli možnost zneužití aplikační off-line cache vytvořené prohlížečem, aby do ní podsunuli prakticky libovolný obsah. Tím může být třeba i falešná stránka, na kterou je uživatel přesměrován a na niž se následně přihlásí v domnění, že jde o originální zdroj a díky tomu mohou být odcizeny jeho přihlašovací údaje. Právě technologie ukládání dat prohlížečem na lokální disky podle expertů bude vyžadovat největší investice do zabezpečení zejména v korporátní sféře.

Také nová technologie sandboxingu v HTML5 přináší mnohem větší rizika spojená s tzv. clickjackingem (jedná se o typ útoku pomocí zdánlivě neškodného odkazu, který po prokliknutí způsobí nečekanou reakci), protože webové stránky nejsou schopné identifikovat, odkud příkazy přichází. V prostředí HTML5 totiž nefungují tradiční metody, které měly chránit aplikace před tím, aby byly zneužity ke clickjackingu, což nyní znovu odkrylo již dříve vyřešené problémy.

HTML5 také rozvířilo vody spojené s cookies, neboť používá jejich novou formu (tu Lyne označuje jako „super-uber-cookies“), která je pro uživatele běžně neviditelná. To pak může vést ke snahám o útoky na tyto cookies s cílem získat databázi URL adres, které uživatel navštívil a vstupů, jež do nich zadal. Díky tomu mají útočníci novou možnost zachytit a získat velké množství údajů o uživateli, které mohou následně zneužít.

Výčet možných rizik spojených s HTML5 pak může pokračovat. Funkce pro předávání geolokačních informací může útočníkovi odhalit místo, kde se uživatel nachází, aniž ten by o tom tušil, dále nové možnosti kaskádových stylů nabízejí hackerům potenciál ovládat, které CSS elementy se v prohlížeči zobrazí a které nikoliv. Pro neautorizovanou komunikaci pak může být zneužita funkce WebSocket, která má za cíl vytvářet komunikační spojení mezi webovou aplikací a serverem, v rámci něhož mohou být v reálném čase vyměňovány informace atd.

Navzdory těmto problémům je ovšem James Lyne ze společnosti přesvědčený, že HTML5 přináší i řadu bezpečnostních benefitů a zvlášť Flash podle něj byl z hlediska zabezpečení v posledních letech doslova utrpením. Až se na tuto změnu bezpečnostní experti přeorientují, omezí se podle něj kromě nutnosti spoléhat na rizikové (a na mnoha PC často zastaralé) doplňky a hlídání jejich aktuálnosti třeba i možnosti útoků typu SQL injection (napadení databázové vrstvy vsunutím kódu) a bezpečnost má zlepšit třeba i nová možnost validace vstupu na straně klienta.

Zanechte komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *


− tři = pět

Můžete používat následující HTML značky a atributy: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Copyright © ICT manažer | ISSN 1805-5486 | SEO optimalizace a přizpůsobení SEO-care.cz