Google-х объявление то, что они сделали со вспышкой, было последним гвоздем в гробу Флэша.


Еще до этого знаменитости технократы, как Стив Джобс открыто высказался против Флэша.

С упадком флэш-памяти и ростом HTML5 началась новая эра, в которой появились более привлекательные и более функциональные веб-сайты, совместимые как с мобильными, так и с ПК..

Передача данных и их получение также стали намного проще, чем раньше.

Тем не менее, он представляет свои уникальные проблемы, которые необходимо победить.

Преимущество этого заключается в том, что html5 выводит кросс-браузерную поддержку и функциональность на совершенно новый уровень.

Некоторые браузеры не поддерживают отдельные элементы сайта, и это огорчает необходимость менять элементы сайта, чтобы не отставать от внешнего вида.

HTML5 отменяет это требование, поскольку все современные браузеры поддерживают.

Обмен ресурсами между источниками

Распределение ресурсов между источниками (CORS) является одной из наиболее влиятельных функций html5, а также предоставляет большие возможности для ошибок и хакерских атак..

CORS определяет заголовки, чтобы помочь сайтам определить происхождение и облегчить контекстные взаимодействия.

С html5 CORS отключает основной механизм безопасности в браузерах, называемый Правило того же происхождения.

Согласно той же политике происхождения, браузер может разрешить веб-странице доступ к данным со второй веб-страницы, только если обе веб-страницы имеют одинаковое происхождение..

Что такое происхождение?

Источник – это комбинация схемы URI, имени хоста и номера порта. Эта политика запрещает выполнение вредоносных сценариев и доступ к данным с веб-страниц..

CORS смягчает эту политику, предоставляя различным сайтам доступ к данным для обеспечения контекстного взаимодействия..

Это может привести к тому, что хакер получит в свои руки конфиденциальные данные..

Например,

Если вы вошли в Facebook и по-прежнему входите в систему, а затем посещаете другой сайт, возможно, что злоумышленники смогут украсть информацию и сделать все, что пожелают, на ваш аккаунт Facebook, воспользовавшись непринужденной политикой перекрестного происхождения..

На чуть более прохладной ноте: если пользователь вошел в свою банковскую учетную запись и забыл выйти из системы, хакер мог получить доступ к учетным данным пользователя, его транзакциям или даже создать новые транзакции..

Браузеры, сохраняя данные пользователя, оставляют сеансовые куки открытыми для использования.

Хакеры также могут вмешиваться в заголовки, вызывая непроверенные перенаправления.

Непроверенные перенаправления могут происходить, когда браузеры принимают ненадежный ввод. Это, в свою очередь, перенаправляет запрос перенаправления. Ненадежный URL-адрес можно изменить, чтобы добавить исходные данные для вредоносного сайта и, следовательно, запустить фишинговые мошенничества, предоставив URL-адреса, которые выглядят идентичными реальному сайту..

Непроверенные атаки с переадресацией и переадресацией также можно использовать для злонамеренного создания URL-адреса, который пройдет проверку контроля доступа приложения, а затем перенаправит злоумышленника на привилегированные функции, к которым он, как правило, не сможет получить доступ..

Вот что разработчики должны позаботиться о том, чтобы эти вещи не происходили.

  • Разработчики должны убедиться, что URL передаются для открытия. Если они междоменные, то это может быть уязвимо для внедрения кода.
  • Кроме того, обратите внимание, если URL-адреса являются относительными или если они указывают протокол. Относительный URL-адрес не указывает протокол, т. Е. Мы не будем знать, начинается ли он с HTTP или https. Браузер предполагает, что оба верны.
  • Не полагайтесь на заголовок Origin для проверок контроля доступа, поскольку они могут быть легко подделаны.

Как узнать, включен ли CORS для определенного домена?

Ну, вы можете использовать инструменты разработчика в браузере, чтобы изучить заголовок.

Междоменный обмен сообщениями

Передача междоменных сообщений ранее запрещалась в браузерах для предотвращения атак между сайтами.

Это также препятствовало законному общению между веб-сайтами, что в настоящее время составляет большую часть междоменных сообщений.

Веб-сообщения позволяют легко взаимодействовать различным API.

Чтобы предотвратить кросс-скриптинговые атаки, разработчики должны сделать следующее..

Они должны указать ожидаемое происхождение сообщения

  • Атрибуты происхождения всегда должны проверяться и данные проверяться.
  • Получающая страница всегда должна проверять атрибут источника отправителя. Это помогает убедиться, что полученные данные действительно отправлены из ожидаемого места.
  • Получающая страница также должна выполнить проверку ввода, чтобы убедиться, что данные находятся в требуемом формате..
  • Обмен сообщениями следует интерпретировать как данные, а не как код.

Лучшее хранение

Еще одна особенность html5 – это лучшее хранилище. Вместо того, чтобы полагаться на куки для отслеживания пользовательских данных, браузер включен для хранения данных.

HTML5 позволяет хранить данные в нескольких окнах, обеспечивает лучшую безопасность и сохраняет данные даже после закрытия браузера. Локальное хранилище возможно без плагинов браузера.

Это создает разные проблемы.

Разработчики должны позаботиться о том, чтобы злоумышленники не крали информацию.

  • Если на сайте хранятся пароли пользователей и другая личная информация, то к ним могут получить доступ хакеры. Такие пароли, если они не зашифрованы, могут быть легко украдены через API веб-хранилища. Поэтому настоятельно рекомендуется, чтобы все ценные пользовательские данные были зашифрованы и сохранены.
  • Кроме того, многие вредоносные программы уже начали сканирование кэшей браузера и API хранилища, чтобы найти информацию о пользователях, такую ​​как информация о транзакциях и финансовая информация..

Заключительные мысли

HTML5 предлагает отличные возможности для веб-разработчиков, чтобы изменить и сделать вещи намного более безопасными.

Хотя основная часть работы по обеспечению безопасной среды ложится на браузеры.

Если вы хотите узнать больше, посмотрите «Изучай HTML5 за 1 час” курс.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me