HTML5 löst neue Sicherheitsprobleme

Wenn es um neue Sicherheit geht Probleme, das Sicherheitsteam für den Firefox-Browser haben die neue Version der Web HyperText Markup Language, HTML5, in den Köpfen.

"Web-Anwendungen werden unglaublich reich mit HTML5. Der Browser beginnt, Full-Bore-Anwendungen zu verwalten und nicht nur Webseiten ", sagte Sid Stamm, der an Firefox-Sicherheitsproblemen für die Mozilla Foundation arbeitet. Stamm sprach auf dem Usenix Security Symposium, das letzte Woche in Washington stattfand

"Es gibt eine Menge Angriffsfläche, über die wir nachdenken müssen", sagte er.

In derselben Woche äußerte sich Stamm über HTML5, Entwickler des Opera-Browsers waren damit beschäftigt, eine Pufferüberlauf-Schwachstelle zu beheben, die mit der HTML5-Bildrendering-Funktion ausgenutzt werden konnte.

Ist es unvermeidbar, dass das World Wide Web Consortium (W3C) neue Standards für das Rendern von Webseiten definiert? als HTML5, mit einem ganz neuen Bündel von Sicherheitslücken? Zumindest einige Sicherheitsforscher denken, dass dies der Fall ist.

"HTML5 bringt eine Menge Funktionen und Power ins Web. Sie können jetzt so viel mehr [bösartige Arbeit] mit reinem HTML5 und JavaScript machen, als es jemals zuvor möglich war ", sagte der Sicherheitsforscher Lavakumar Kuppan.

Das W3C" richtet dieses gesamte Redesign auf die Idee aus, dass wir Anwendungen innerhalb des Browsers starten werden, und wir haben im Laufe der Jahre bewiesen, wie sicher Browser sind ", sagte Kevin Johnson. ein Penetrationstester mit der Sicherheitsberatungsfirma Secure Ideas. "Wir müssen zurückgehen, um zu verstehen, dass der Browser eine bösartige Umgebung ist. Wir haben den Standort verloren."

Obwohl HTML5 selbst der Name einer Spezifikation ist, wird er oft auch verwendet, um eine Sammlung von lose zusammenhängenden Mengen zu beschreiben von Standards, die zusammen verwendet werden können, um vollwertige Web-Anwendungen zu erstellen. Sie bieten Funktionen wie Seitenformatierung, Offline-Datenspeicherung, Bildwiedergabe und andere Aspekte. (Obwohl es keine W3C-Spezifikation ist, wird JavaScript häufig auch in diesen Standards verwendet, so weit verbreitet ist es beim Erstellen von Webanwendungen.)

All diese neuen vorgeschlagenen Funktionen werden von Sicherheitsforschern erforscht.

Früher in diesem Sommer, Haben Kuppan und ein anderer Forscher einen Weg gefunden, den HTML5 Offline Application Cache zu missbrauchen. Google Chrome, Safari, Firefox und die Beta des Opera-Browsers haben diese Funktion bereits implementiert und wären anfällig für Angriffe, die diesen Ansatz nutzen.

Die Forscher argumentieren, dass jede Website einen Cache erstellen kann In einigen Browsern kann der Angreifer eine gefälschte Anmeldeseite für eine Website einrichten, z. B. eine soziale Netzwerk- oder E-Commerce-Website. Eine solche gefälschte Seite könnte dann verwendet werden, um die Anmeldeinformationen des Benutzers zu stehlen.

Andere Forscher waren sich über den Wert dieses Ergebnisses einig.

"Es ist eine interessante Wendung, aber Netzwerk-Angreifern bietet sie keinen zusätzlichen Vorteil das können sie schon erreichen ", schrieb Chris Evans auf der Mailingliste Full Disclosure. Evans ist der Schöpfer der Software Very Secure File Transfer Protocol (vsftp).

Dan Kaminsky, Chef-Wissenschaftler des Sicherheitsforschungsunternehmens Recursion Ventures, stimmte zu, dass diese Arbeit eine Fortsetzung der Angriffe ist, die vor HTML5 entwickelt wurden. "Browser fordern nicht nur Inhalte an, rendern sie und werfen sie weg. Sie speichern sie auch für den späteren Gebrauch … Lavakumar beobachtet, dass die nächste Generation von Caching-Technologien die gleiche Eigenschaft erleidet", sagte er in einem E-Mail-Interview.

Kritiker waren sich einig, dass dieser Angriff auf eine Website angewiesen sein würde, die nicht Secure Sockets Layer (SSL) verwendet, um Daten zwischen dem Browser und dem Webseitenserver zu verschlüsseln, was häufig praktiziert wird. Aber selbst wenn diese Arbeit keine neue Art von Schwachstelle aufdeckte, zeigt dies, dass eine alte Schwachstelle in dieser neuen Umgebung wiederverwendet werden kann.

Johnson sagt, dass mit HTML5 viele der neuen Funktionen eine Bedrohung darstellen, da sie die Anzahl der Möglichkeiten erhöhen, die ein Angreifer dem Browser des Benutzers nutzen könnte, um Schaden zu verursachen.

"Seit Jahren konzentriert sich die Sicherheit auf Schwachstellen - Pufferüberläufe, SQL-Injection-Angriffe. Wir patchen sie, wir reparieren sie, wir überwachen sie ", sagte Johnson. Aber im Fall von HTML5 sind es oft die Features selbst, mit denen man uns angreifen kann.

Als Beispiel verweist Johnson auf Googles Gmail, einem der frühen Nutzer der lokalen Speicherfunktionen von HTML5. Vor HTML5 musste ein Angreifer möglicherweise Cookies von einem Computer stehlen und sie dekodieren, um das Kennwort für einen Online-E-Mail-Dienst zu erhalten. Jetzt muss der Angreifer nur noch Zugang zum Browser des Benutzers erhalten, in dem Google Mail eine Kopie des Posteingangs erstellt.

"Diese Funktionssätze sind gruselig", sagte er. "Wenn ich in Ihrer Webanwendung einen Fehler finden und HTML5-Code einfügen kann, kann ich Ihre Site ändern und Dinge ausblenden, die ich nicht sehen soll."

Mit lokalem Speicher kann ein Angreifer Daten von Ihrem Browser lesen oder fügen Sie dort ohne Ihr Wissen andere Daten ein. Mit Geolocation kann ein Angreifer Ihren Standort ohne Ihr Wissen ermitteln. Mit der neuen Version von Cascading Style Sheets (CSS) kann ein Angreifer steuern, welche Elemente einer CSS-optimierten Seite angezeigt werden. Der HTML5 WebSocket stellt dem Browser einen Netzwerkkommunikationsstack zur Verfügung, der für heimliche Hintertürkommunikationen missbraucht werden könnte.

Das soll nicht heißen, dass die Browserhersteller dieses Problem nicht bemerken. Auch wenn sie daran arbeiten, die neuen Standards zu unterstützen, suchen sie nach Möglichkeiten, ihren Missbrauch zu verhindern. Auf dem Usenix-Symposium stellte Stamm einige der Techniken vor, die das Firefox-Team erforscht, um die mit diesen neuen Technologien möglichen Schäden zu verringern.

Zum Beispiel arbeiten sie an einer alternativen Plug-in-Plattform namens JetPack würde besser kontrollieren, welche Aktionen ein Plug-in ausführen könnte. "Wenn wir die vollständige Kontrolle über die [Anwendungsprogrammierschnittstelle] haben, können wir sagen: Dieses Add-on fordert Zugriff auf Paypal.com an, würden Sie es zulassen?", Sagte Stamm.

JetPack könnte auch verwenden ein deklaratives Sicherheitsmodell, in dem das Plug-in dem Browser jede Aktion deklarieren muss, die es durchzuführen beabsichtigt. Der Browser würde dann das Plug-in überwachen, um sicherzustellen, dass es innerhalb dieser Parameter bleibt.

Ob Browser-Macher genug tun können, um HTML5 zu sichern, bleibt abzuwarten, kritisieren Kritiker.

"Das Unternehmen muss anfangen zu bewerten, ob Es ist diese Funktionen wert, um die neuen Browser auszubreiten ", sagte Johnson. "Das ist einer der wenigen Male, die Sie hören können" Sie wissen, vielleicht war [Internet Explorer] 6 besser. ""

Joab Jackson berichtet über Unternehmenssoftware und allgemeine Technologie mit aktuellen Nachrichten für Der IDG-Nachrichtendienst. Folge Joab auf Twitter unter @Joab_Jackson. Joabs E-Mail-Adresse ist [email protected]