在线观看国产精品网站,日本午夜精品久久久久,欧美中文字幕一区二区三区

主頁 > 知識(shí)庫 > 關(guān)于HTML5的安全問題開發(fā)人員需要牢記的

關(guān)于HTML5的安全問題開發(fā)人員需要牢記的

應(yīng)用程序安全專家表示，HTML5給開發(fā)人員帶來了新的安全挑戰(zhàn)。
　　蘋果公司與Adobe公司之間的口水戰(zhàn)帶來對HTML 5命運(yùn)的諸多猜測，盡管HTML 5的實(shí)現(xiàn)還有很長的路要走，但可以肯定的一點(diǎn)是，運(yùn)用HTML 5的開發(fā)人員將需要為應(yīng)用程序安全開發(fā)生命周期部署新的安全功能以應(yīng)對HTML5帶來的安全挑戰(zhàn)。
　　那么HTML5將會(huì)對我們需要覆蓋的攻擊面帶來怎樣的影響？本文將探討關(guān)于HTML 5幾個(gè)重要安全問題。
　　客戶端存儲(chǔ)
　　早期版本的HTML僅允許網(wǎng)站將cookies作為本地信息存儲(chǔ)，而這些空間相對較小，僅適用于存儲(chǔ)簡單的檔案信息或者作為存儲(chǔ)在其他位置的數(shù)據(jù)(例如會(huì)話ID)的標(biāo)識(shí)符，Denim集團(tuán)應(yīng)用程序安全研究部門的主管Dan Cornell表示。然而，HTML5 LocalStorage則允許瀏覽器本地存儲(chǔ)大量據(jù)庫，允許使用新類型應(yīng)用程序。
　　“隨之而來的風(fēng)險(xiǎn)就是，敏感數(shù)據(jù)可能被存儲(chǔ)在本地用戶工作站，而物理訪問或者破壞該工作站的攻擊者，就能夠輕松獲得敏感數(shù)據(jù)，”Cornell表示，“這對于使用共享計(jì)算機(jī)的用戶更加危險(xiǎn)。”
　　“從定義上來說，它真的只是能夠在客戶端系統(tǒng)存儲(chǔ)信息，”Rapid7公司的安全研究人員Josh Abraham表示，“那么你就具備基于客戶端SQL注入攻擊的潛在能力，或者可能你的某個(gè)客戶端的數(shù)據(jù)庫是惡意的，當(dāng)與生產(chǎn)系統(tǒng)同步時(shí)，則可能出現(xiàn)同步問題，或者客戶端的潛在惡意數(shù)據(jù)將被插入到生產(chǎn)系統(tǒng)。”
　　為了解決這個(gè)問題，開發(fā)人員需要能夠驗(yàn)證數(shù)據(jù)是否為惡意的，這其實(shí)是個(gè)很復(fù)雜的問題。
　　對于這個(gè)問題的重要性并不是所有人都贊同。Veracode公司首席技術(shù)官Chris Wysopal表示，例如web應(yīng)用程序通過使用插件或者瀏覽器擴(kuò)展存儲(chǔ)數(shù)據(jù)客戶端就一直存在很多方法。
　　“有很多已知的方法可以操控目前部署的HTML5 SessionStorage屬性，但是標(biāo)準(zhǔn)最終確定時(shí)，這個(gè)問題才會(huì)解決，”Wysopal表示。
　　跨域通信
　　而其他版本的HTML可能直允許JavaScript發(fā)出XML HTTP請求調(diào)用回原來的服務(wù)器，而HTML5放寬了這個(gè)限制，XML HTTP請求可以發(fā)送給任何允許這種請求的服務(wù)器。當(dāng)然，如果服務(wù)器不可信任的話，這也會(huì)帶來嚴(yán)重安全問題。
　　“例如，我可以建立一個(gè)mashup(糅合，將兩種以上使用公共或者私有數(shù)據(jù)庫的web應(yīng)用合并形成一個(gè)整合應(yīng)用)通過 JSON(Javascript Object Notation)將第三方網(wǎng)站的比賽比分拉過來，”Cornell表示，“這個(gè)網(wǎng)站可能會(huì)發(fā)送惡意數(shù)據(jù)到我的用戶瀏覽器正在運(yùn)行的應(yīng)用程序上。雖說 HTML5允許新類型的應(yīng)用程序的建立，但如果開發(fā)人員在開始使用這些功能時(shí)，并不理解他們所建立的應(yīng)用程序的安全意義，那么將會(huì)給用戶帶來很大安全風(fēng)險(xiǎn)。”
　　對于依賴于PostMessage()來編寫應(yīng)用程序的開發(fā)人員而言，必須仔細(xì)檢查以確保信息是來源于他們自己的網(wǎng)站，否則來自其他網(wǎng)站的惡意代碼可能會(huì)制造惡意信息，Wysopal補(bǔ)充說。這個(gè)功能本身并不是安全的，開發(fā)人員已經(jīng)開始使用不同的DOM(文檔對象模型)/瀏覽器功能來效仿跨域通訊。
　　另一個(gè)相關(guān)問題是，萬維網(wǎng)聯(lián)盟目前為跨源資源共享設(shè)計(jì)提供了一種使用類似與跨域機(jī)制繞過同源政策的方法。
　　“IE部署的安全功能與Firefox、Chrome以及Safari都不相同，”他指出，“開發(fā)人員需要確保他們創(chuàng)建過于寬松訪問控制列表的危害，特別是因?yàn)槟承﹨⒖即a目前非常不安全。
　　Iframe安全
　　從安全角度來看，HTML5也有不錯(cuò)的功能，例如計(jì)劃支持iframe的沙盒屬性。
　　“這個(gè)屬性將允許開發(fā)者選擇數(shù)據(jù)如何解譯的方式，”Wysopal表示，“不幸的是，與大部分HTML一樣，這個(gè)設(shè)計(jì)很可能被開發(fā)人員誤解，很可能因?yàn)椴槐阌谑褂枚婚_發(fā)人員禁用。如果處理得當(dāng)，這個(gè)功能將能夠幫助抵御惡意第三方廣告或者防止不可信任內(nèi)容重放。”

標(biāo)簽：果洛鄂爾多斯蚌埠松原阿克蘇常德廣東廣西

巨人網(wǎng)絡(luò)通訊聲明：本文標(biāo)題《關(guān)于HTML5的安全問題開發(fā)人員需要牢記的》，本文關(guān)鍵詞關(guān)于,HTML5,的,安全,問題,；如發(fā)現(xiàn)本文內(nèi)容存在版權(quán)問題，煩請?zhí)峁┫嚓P(guān)信息告之我們，我們將及時(shí)溝通與處理。本站內(nèi)容系統(tǒng)采集于網(wǎng)絡(luò)，涉及言論、版權(quán)與本站無關(guān)。

婷婷综合国产,91蜜桃婷婷狠狠久久综合9色 ,九九九九九精品,国产综合av

關(guān)于HTML5的安全問題開發(fā)人員需要牢記的