【51CTO外电头条】欧盟计算机安全机构最近发出警告称,作为HTML5重要组成部分的某些开发层标准正经历变更,而此类变更很可能导致大量严重安全问题的出现。
欧洲网络及信息安全局(简称ENISA)于本周一公布了一份长达61页的文件,对HTML5以及网页编码母语的最新规范进行了详尽的分析。
HTML5项目由万维网联盟(简称W3C)策划并发起,该机构计划将截至本周二之前所有来自用户的建议及意见都详加考量,并酌情纳入HTML5的最新变更草案。最终,ENISA在最终期限到来的前一天完成了全部意见的汇总工作。
“我认为这次的情况相当特殊,因为这可以说是大家第一次从安全的角度广泛地采纳意见,并将其引用至规格制定领域,”Giles Hogben说道。他是ENISA机构安全服务部门的方案经理。
HTML5的规范制定相当关键,因为它将成为应用程序设计人员及网页开发人员的使用指南,在未来数年中扮演举足轻重的角色。回顾过去,HTML4使用规范自1999年以来就一直被频繁使用。
同理,一旦网页浏览器所使用的此类规范达不到各方面既定要求,那么每个消费者——无论是个人用户还是企业用户——都将面临巨大的安全风险。
“如今每个人都会随时随地用到浏览器,”Hogben说道。“规范的重要性由此可见一斑。”
ENISA对HTML5的总计十三项规范进行了审核,从中查出了五十一项安全问题。有些问题可以通过对固有规范进行调整加以解决,而其它一些则使得某些功能的使用存在风险,需要用户对此产生警觉,Hogben说道。其中最受ENISA机构重视的高危功能之一名为“形式篡改”。
HTML5规范存在于基于网页形式的“提交”按钮被放置在该网页中的任何位置上。也就是说,攻击者可以通过将其它HTMl注入到该页面中(例如设置另一个形式不同的‘提交’按钮),并进而导致用户信息被发送到攻击者预设的站点而非合法站点处。
这类新功能“已经使开发人员们广泛受益,”Hogben说。“我们并不打算建议W3C机构将此功能取消掉,实际上只要用户在进行涉及此类应用的工作时注意到存在的潜在风险即可。”
ENISA同样也为浏览器的运行机制征集了大量意见。举例来说,如果某位用户正在进行网上银行交易,那么当他需要在不同页面标签之间来回切换时,他至少应该使用多种不同的浏览器或者至少用到沙盒会话。具备沙盒技术的浏览器会话能够避免其它标签——例如包含攻击页面的那类标签——利用疏漏对整个浏览器应用程序及其权限分配情况进行篡改。
ENISA计划将全部意见和建议分类发送至W3C中的各对应工作团队中去,这些信息将帮助大家进一步完善将于2012年1月推出的修订版HTML5新规范。
原文链接:http://www.computerworld.com/s/article/9218776/European_security_agency_issues_HTML5_warning
【编辑推荐】
