HTML5 solleva nuovi problemi di sicurezza

Quando si tratta di nuova sicurezza problemi, il team di sicurezza per il browser Firefox ha la nuova versione del Web HyperText Markup Language, HTML5, soprattutto per la mente.

"Le applicazioni Web stanno diventando incredibilmente ricche di HTML5. e non solo pagine Web ", ha affermato Sid Stamm, che lavora sui problemi di sicurezza di Firefox per Mozilla Foundation. Stamm stava parlando al Simposio sulla sicurezza Usenix, tenutosi la scorsa settimana a Washington DC

"C'è molta superficie di attacco su cui dobbiamo riflettere", ha detto.

Nella stessa settimana Stamm ha espresso preoccupazione per HTML5, gli sviluppatori del browser Opera erano occupati a risolvere una vulnerabilità di overflow del buffer che poteva essere sfruttata utilizzando la funzione di rendering delle immagini su tela HTML5.

È inevitabile che il nuovo set di standard del World Wide Web Consortium (W3C) per il rendering di pagine Web, noto collettivamente come HTML5, vieni con un intero nuovo pacchetto di vulnerabilità? Almeno alcuni ricercatori di sicurezza pensano che sia questo il caso.

"HTML5 offre molte funzionalità e potenza al Web. Ora puoi fare molto di più [lavoro malevolo] con HTML5 e JavaScript semplici di quanto fosse mai possibile prima "Il ricercatore della sicurezza Lavakumar Kuppan.

Il W3C sta" ruotando completamente questa riprogettazione sull'idea che avvieremo l'esecuzione di applicazioni all'interno del browser e abbiamo dimostrato negli anni che i browser sono sicuri ", ha affermato Kevin Johnson, un tester di penetrazione con la società di consulenza sulla sicurezza Secure Ideas. "Dobbiamo tornare a comprendere che il browser è un ambiente dannoso. Abbiamo perso il sito."

Sebbene sia il nome di una specifica a sé stante, HTML5 viene spesso utilizzato per descrivere una raccolta di set liberamente correlati di standard che, messi insieme, possono essere utilizzati per costruire applicazioni web a tutti gli effetti. Offrono funzionalità come la formattazione della pagina, l'archiviazione dei dati offline, la riproduzione delle immagini e altri aspetti. (Anche se non è una specifica W3C, JavaScript è anche spesso ammassato in questi standard, così ampiamente utilizzato nella creazione di applicazioni Web).

Tutte queste nuove funzionalità proposte stanno iniziando a essere esplorate dai ricercatori di sicurezza.

All'inizio di questa estate, Kuppan e un altro ricercatore hanno pubblicato un modo per utilizzare impropriamente la cache dell'applicazione offline HTML5. Google Chrome, Safari, Firefox e la versione beta del browser Opera hanno già implementato questa funzione e sarebbero vulnerabili agli attacchi che hanno utilizzato questo approccio, hanno notato.

I ricercatori sostengono che poiché qualsiasi sito Web può creare una cache su il computer dell'utente e, in alcuni browser, lo fa senza l'esplicita autorizzazione dell'utente, un utente malintenzionato potrebbe configurare una pagina di accesso falsa a un sito come un social network o un sito di e-commerce. Una tale pagina falsa potrebbe quindi essere utilizzata per rubare le credenziali dell'utente.

Altri ricercatori sono stati divisi sul valore di questo risultato.

"È una svolta interessante ma non sembra offrire agli attaccanti della rete alcun ulteriore vantaggio oltre a ciò possono già raggiungere ", ha scritto Chris Evans sulla mailing list di Full Disclosure. Evans è il creatore del software Very Secure File Transfer Protocol (vsftp).

Dan Kaminsky, capo scienziato della società di ricerche sulla sicurezza Recursion Ventures, ha convenuto che questo lavoro è una continuazione degli attacchi sviluppati prima di HTML5. "I browser non richiedono solo il contenuto, lo rendono e lo buttano via, ma lo memorizzano anche per un uso futuro … Lavakumar sta osservando che le tecnologie di caching di prossima generazione soffrono di questo stesso tratto", ha detto, in un'intervista via e-mail.

I critici hanno convenuto che questo attacco si baserebbe su un sito che non utilizza Secure Sockets Layer (SSL) per crittografare i dati tra il browser e il server di pagine Web, che è comunemente praticato. Ma anche se questo lavoro non ha portato alla luce un nuovo tipo di vulnerabilità, mostra che una vecchia vulnerabilità può essere riutilizzata in questo nuovo ambiente.

Johnson afferma che, con HTML5, molte delle nuove funzionalità costituiscono delle minacce da sole, a causa del modo in cui aumentano il numero di modi in cui un utente malintenzionato potrebbe sfruttare il browser dell'utente per fare del male.

"Per anni la sicurezza si è concentrata sulle vulnerabilità - buffer overflow, attacchi SQL injection: li patchiamo, li aggiustiamo, li monitoriamo ", ha detto Johnson. Ma nel caso di HTML5, spesso sono le stesse funzionalità "che possono essere usate per attaccare", ha detto.

Come esempio, Johnson indica Gmail di Google, che è un utente esperto delle capacità di archiviazione locale di HTML5. Prima di HTML5, un utente malintenzionato potrebbe aver dovuto rubare i cookie da una macchina e decodificarli per ottenere la password per un servizio di posta elettronica online. Ora, l'hacker deve solo accedere al browser dell'utente, dove Gmail racconta una copia della posta in arrivo.

"Questi set di funzionalità sono spaventosi", ha affermato. "Se riesco a trovare un difetto nella tua applicazione Web e a inserire codice HTML5, posso modificare il tuo sito e nascondere cose che non voglio che tu veda."

Con la memoria locale, un utente malintenzionato può leggere i dati dal tuo browser, o inserire altri dati lì a vostra insaputa. Con la geolocalizzazione, un utente malintenzionato può determinare la tua posizione a tua insaputa. Con la nuova versione di Cascading Style Sheets (CSS), un utente malintenzionato può controllare quali elementi di una pagina migliorata da CSS è possibile visualizzare. HTML5 WebSocket fornisce al browser uno stack di comunicazione di rete, che potrebbe essere utilizzato in modo improprio per comunicazioni segrete di backdoor.

Questo non vuol dire che i produttori di browser non siano a conoscenza di questo problema. Anche se lavorano per aggiungere il supporto ai nuovi standard, stanno cercando modi per prevenirne l'abuso. Al Simposio di Usenix, Stamm ha notato alcune delle tecniche che il team di Firefox sta esplorando per mitigare i danni che potrebbero essere apportati con queste nuove tecnologie.

Ad esempio, stanno lavorando a una piattaforma plug-in alternativa, chiamata JetPack, che manterrebbe un controllo più stretto sulle azioni che un plug-in potrebbe eseguire. "Se abbiamo il controllo completo [dell'interfaccia di programmazione dell'applicazione], siamo in grado di dire 'Questo add-on richiede l'accesso a Paypal.com, lo permetteresti?'", Ha detto Stamm.

JetPack può anche usare un modello di sicurezza dichiarativo, in cui il plug-in deve dichiarare al browser ogni azione che intende intraprendere. Il browser quindi controllerebbe il plug-in per assicurarsi che rimanga all'interno di questi parametri.

Tuttavia, se i produttori di browser possono fare abbastanza per proteggere l'HTML5 resta da vedere, sostengono i critici.

"L'impresa deve iniziare a valutare se Vale la pena queste funzionalità per distribuire i nuovi browser ", ha detto Johnson. "Questa è una delle poche volte che puoi sentire" Sai, forse [Internet Explorer] 6 è stato migliore. ""

Joab Jackson copre le ultime novità del software aziendale e della tecnologia generale per Il servizio News IDG. Segui Joab su Twitter all'indirizzo @Joab_Jackson. L'indirizzo e-mail di Joab è [email protected]