A web jövőjének sötét oldala
A HTML5 weboldalak óvintézkedések nélkül sokféle támadással szemben lehetnek kiszolgáltatottak.
Kategóriák: Biztonság, IT-védelem
Szerző: Kristóf Csaba
2010. augusztus 24.
"A webes alkalmazások hitetetlenül gazdaggá tehetők a HTML5 segítségével. A böngészők teljes alkalmazásokat kezdenek menedzselni, és nemcsak weblapok megjelenítésével foglalkoznak. Azonban számos olyan támadási forma létezik, amelyekre gondolnunk kell" - vélekedett Sid Stamm, a Firefox biztonságáért felelős egyik szakember a Washingtonban megrendezett Usenix Security rendezvényen. Ezekkel a mondataival igyekezett kifejteni azt a HTML5-tel kapcsolatos biztonsági megközelítést, miszerint a tartalmak és a funkciók gazdagsága kellő odafigyelés nélkül biztonsági problémákhoz járulhat hozzá. Stamm példaként hozta fel az Opera legutóbbi hibajavítását, melynek során a böngészőben egy olyan sérülékenység megszüntetésére is sor került, amely a HTML5-ben specifikált "canvas" nem megfelelő kezelésével, illetve megjelenítésével volt összefüggésbe hozható.
A rendezvényen felvetődött a kérdés, hogy vajon elkerülhetetlen-e az, hogy a W3C (World Wide Web Consortium) által fémjelzett szabvány, jelesül a HTML5, új sérülékenységeket hozzon magával. Több biztonsági kutató szerint mindez sajnos elkerülhetetlen. "A HTML5 rengeteg új funkcióval szolgál, és erőt ad a webnek. Sokkal több minden elérhető egy egyszerű HTML5 alapú weboldal és JavaScriptek segítségével, mint ami eddig lehetséges volt" - mondta Lavakumar Kuppan kutató, aki szerint az új lehetőségek előbb utóbb biztonsági nehézségeket fognak előidézni. Kuppan és egyik kollégája éppen a nyár elején fedezett fel egy olyan sebezhetőséget, amely a HTML5 Offline Application Cache-t érintette. A hiba a Chrome, a Safari, a Firefox esetében valamint az Opera egyik béta verziójában is kihasználható volt.
Aggályos az offline böngészés
Az offline technikák igencsak foglalkoztatják a biztonsági szakértőket, akik szerint a cache-ben tárolt adatok könnyedén áldozatául eshetnek a számítógépes bűnözőknek. Megfelelő jogosultságkezelés nélkül ugyanis sokkal több információhoz lehet hozzáférni a klienseken, mint eddig. Kevin Johnson, a Secure Ideas szakembere is az offline tartalmak kezelése kapcsán emelte fel a szavát. "Évekig a különböző sérülékenységekre - többek között az SQL injectionre és puffertúlcsordulási hibákra - koncentráltunk. Ezeket befoltoztuk, javítottuk és monitoroztuk. Azonban a HTML5 esetében maguk a megvalósítható funkciók használhatók fel támadások kivitelezéséhez" - mondta Johnson.
A szakember példaként a Google Gmail-t említette. "Míg korábban a támadóknak jelszavakat kellett szerezniük, visszafejteniük, addig most már elegendő, ha ahhoz a böngészőhöz nyernek hozzáférést, amelynek segítéségével a Gmail postafiókok tartalma helyileg eltárolásra kerül. Az új funkciókészlet ijesztő. Ha egy webes alkalmazásban találok egy sérülékenységet, és HTML5 kódot juttatok a weblapba, akkor könnyedén tudom módosítani az oldalt, és azt rejtek el azon, amit csak akarok. A helyi adattárolás miatt pedig a támadóknak a felhasználók tudta nélkül nyílhat lehetőségük a lementett adatok módosítására" - hívta fel a figyelmet a veszélyekre Johnson. A rendezvényen a szakértők a Geolocation és a megújult CSS kapcsán is kifejezték az aggodalmaikat. Egyesek szerint lehetőség nyílhat arra, hogy a felhasználó tudta nélkül kerüljenek illetéktelen kezekbe a tartózkodási helyre vonatkozó információk.
Figyelmet kell fordítani a védekezésre
Sid Stamm nagy reményeket fűz ahhoz a JetPack nevű, plug-in platformhoz, amely a kockázatok mérséklésében is fontos szerepet kap. A segítségével ugyanis szigorúbb alkalmazásvezérlés valósítható meg, és definiálhatók azok a tevékenységek, amelyeket az egyes böngésző-kiegészítők végrehajthatnak. A Usenix Security-n további fontos megállapítás volt, hogy a HTML5 biztonságossá tétele érdekében a böngészők fejlesztőinek is sokat kell tenniük. Amennyiben sikerül megfelelő védelmi mechanizmusokat kidolgozniuk, akkor azok a HTML5 terjedését és népszerűségének növekedését is elő fogják segíteni.
A cikk testvéroldalunkon, a Computerworld biztonság rovatában jelent meg.
