HTML5: Nove tehnologije, novi rizici za bezbednost na vebu

Vesti, 05.12.2011, 07:47 AM

Rast popularnosti HTML5 će omogućiti čitav niz novih veb aplikacija, ali istovremeno taj trend mogao bi biti praćen i povećanim interesovanjem sajber kriminala za HTML5, predviđanja su stručnjaka kompanije Sophos za 2012. godinu.

HTML5 je razvijen sa idejom da se poboljša izgled veb sajtova, bez potrebe za Java i Flash plugin-ovima, ali i da se poveća kapacitet skladištenja podataka u browserima.

Nove tehnologije, kao što je HTML5, donose nove mogućnosti ali ne samo za programere i internet korisnike već i za kriminalce na internetu jer predstavljaju resurs novih vektora napada.

“HTML5 je više od veb jezika. Mnogo više podataka može biti sačuvano u browser-u što znači da kriminalci sada mogu napadati browser zarad krađe podataka,” kaže Džejms Lajn, direktor tehnološke strategije u Sophos-u.

Browseri su do sada čuvali relativno malu količinu podataka, uglavnom kolačiće (cookie) pomoću kojih veb sajtovi prate svoje posetioce. Veći kapacitet za skladištenje koji ima HTML5 znači da bi kriminalci mogli razviti super-kolačiće koji bi pratili ponašanje korisnika na vebu.

HTML4 je godinama upravljao sadržajem na vebu. Programeri su ga morali dopunjavati dodacima kao što su JavaScript, Adobe Flash i Google Gears koji su obilovali nezakrpljenim bagovima, zbog čega je čitav sistem bio veoma nesiguran, kažu u Sophos-u. Sa HTML5 nestaje potreba za većinom dodataka jer je reč o kompleksnom programskom jeziku koji dolazi sa kompletnom bazom podataka koja omogućava korisnicima da čuvaju gigabajte podataka. Na primer, korisnici sa HTML5 mogu kreirati 3D virtualne svetove ili čuvati aplikacije unutar browsera. Ali upravo ova poslednja funkcija skladištenja podataka unutar browsera čini da browser postane atraktivna meta kriminalcima na internetu. Drugim rečima, browseri su do sada bili vrata kroz koja su kriminalci nastojali da uđu u vaš računar, ali sada će sami browseri biti meta zarad krađe podataka, objašnjavaju u Sophos-u.

Sandboxing u HTML5 čini tehnike napada kao što relativno jednostavna tehnika “clickjacking” napada rizičnijim jer veb stranice više nisu u stanju da identifikuju odakle komande dolaze.

Clickjacking napadi nisu novost. To je vrsta napada koji ima za cilj da "ukrade" klik mišem od potencijalne žrtve i preusmeri ga na stranicu koju je prethodno odredio napadač. Drugim rečima, cilj napadača je da obezbedi klik na prikriveni link bez znanja korisnika o tome.

“Svi kodovi koje su programeri pisali radi sprečavanja automatskog izvršenja aplikacija i clickjacking-a ovde ne rade,” kaže Lajn.

Još jedna slabost HTML5 je integracija sa mobilnim funkcijama kao što je GPS. Browseri mobilnih telefona će moći da prepoznaju lokaciju na kojoj se korinik nalazi, naravno uz datu dozvolu. Ali problem je u tome ko ima pristup ovim podacima, kažu u Sophos-u. Možda ćete želeti da Google Maps zna gde se nalazite, ali nećete želeti da i drugi sajtovi znaju taj podatak. Kao što smo videli u slučajevima davanja dozvola Android aplikacijama ili lažnih HTTPS sertifikata, bezbednost oslonjena na odluku korisnika retko funkcioniše savršeno. Jednom data dozvola ne samo da može omogućiti sajtu da zna vašu trenutnu lokaciju, već može značiti da ćete biti praćeni u realnom vremenu svuda gde se krećete.

Nova funkcija koju je predstavio HTML5 su veb obaveštenja, iskačući prozori koji se pojavljuju izvan browsera i koji mogu biti potpuno prilagođeni pomoću HTML koda. I dok sa jedne strane ova funkcija otvara veoma dobre mogućnosti za interakciju istovremeno može biti odskočna daska za napade kao što su fišing ili napadi lažnim antivirusima.

Uprkos potencijalnim problemima u domenu bezbednosti, Lajn kaže da ima i mnogo benefita u pogledu zaštite bezbednosti kada je reč o HTML5. Ne samo da su neki rizici umanjeni time što će dodaci za browsere biti nepotrebni, već postoji provera validnosti na strani klijenta, kao i biblioteke koje mogu pomoći kada je reč o SQL injection napadima.