HTML5 har mange sikkerhetshull
Fersk rapport avslører 50 hull i ny webstandard.
Det europeiske sikkerhetsbyrået Enisa har nylig publisert en rapport om tilstanden til markupspråket HTML5. Ifølge denne står det dårlig til med sikkerheten.
– HTML5 lekker som en sil
Det ble ifølge rapoorten oppdaget over 50 sikkerhetshull. Det dreier seg blant annet om sårbarhet i implementering av såkalt «Cross-Origin Resource Sharing» (CORS). Dette er en spesifikasjon som gjør det mulig for klienter å samle ressurser fra flere domener på en sikker måte. Sårbarheten ligger i webserverne, som åpner for angripere.
Det er også tidligere blitt oppdaget sikkerhetshull i CORS. For ett år siden klarte sikkerhetsforsker Matt Austin å lage en kode som demonstrerte sårbarheten på nettstedet touch.facebook.com. Austin klarte å bruke koden til sende meldinger fra andre Facebook-brukere som besøkte en manipulert nettside. Angrepet viste seg å være usynlig for den aktuelle nettsiden, fordi koden ble kjørt på klientsiden i selve nettleseren.
Ekspertene fra Enisa mener HTML5-spesifikasjonen for webmeldinger mangler sikkerhetsmekansme som forhindrer potensielt skadelige meldinger. Feilen ligger i at den delen av HTML5-spesifikasjonen som brukes for fjerne tjenester, ikke informerer brukerne om situasjonen. Dermed kan tjenesten fortsette å kjøre uhindret.
HTML5-standarden gjør det også vanskelig å beskytte brukeren mot såkalt «clickjacking». Det dreier seg om at surferen klikker på en skadelig lenke uten at vedkommende er klar over dette. Angriperen kan for eksempel prøve å lure surferen til å oppgi sensitiv informasjon via en falsk knapp på en nettside.
Videre peker rapporten til at HTML5-standarden kan sette brukerens personvern i fare på grunn av en såkalt «cache polling». Denne funksjonen gjør det mulig for en angriper å få tak i siste lokasjonen til en person via et «geolocation cache»-programmeringsgrensesnitt.
Enisa har nå lagt ut forslag til W3C om hvordan hullene kan fikses. Les mer om dette på enisa.europa.eu.
HTML5 er fortsatt en skisse
Det bør imidlertid presiseres at HTML5 fortsatt er på skisse-stadiet, det vil si det er HTML 4.01 som per dags dato er anbefalt av organisasjonen World Wide Web Consortium (W3C). Utviklerne av HTML har også tidligere oppfordret webutviklere til å vente med å implementere HTML5 på vanlige nettsider, men at det er greit å eksperimentere med HTML5.
Du finner hele rapporten på enisa.europa.eu (PDF-fil).
- Les også: Datoen for HTML5 er klar
- Les også: – HTML5 er ikke klar
(Kilde: The Inquirer)
