HTML5 đang thay đổi bảo mật web như thế nào?

Google Google sự thông báo rằng họ đã thực hiện với đèn flash là chiếc đinh cuối cùng trong quan tài Flash Lam.


Ngay cả trước đó, các nhà kỹ trị nổi tiếng thích Steve Jobs nói chuyện cởi mở với Flash.

Với sự sụp đổ của flash và sự trỗi dậy của HTML5, một kỷ nguyên mới đã được mở ra trong đó có các trang web hoạt động tốt hơn và hoạt động tốt hơn, tương thích với điện thoại di động và PC..

Truyền dữ liệu và nhận dữ liệu cũng trở nên đơn giản hơn nhiều so với trước đây.

Tuy nhiên, nó đưa ra những thách thức độc đáo cần phải giành chiến thắng.

Ưu điểm của việc này là html5 đưa chức năng và hỗ trợ trình duyệt chéo lên một cấp độ hoàn toàn mới.

Một số trình duyệt nhất định không hỗ trợ các yếu tố trang web riêng lẻ và thật khó chịu khi phải thay đổi các yếu tố trang web để theo kịp sự xuất hiện.

HTML5 loại bỏ yêu cầu đó vì tất cả các trình duyệt hiện đại đều hỗ trợ.

Chia sẻ tài nguyên nguồn gốc

Chia sẻ tài nguyên nguồn gốc chéo (CORS) là một trong những tính năng có ảnh hưởng nhất của html5 và cũng là một tính năng báo hiệu nhiều khả năng nhất cho các lỗi và tấn công của hacker.

CORS xác định các tiêu đề để giúp cho phép các trang web xác định nguồn gốc và tạo điều kiện cho các tương tác theo ngữ cảnh.

Với html5 CORS tắt tiếng cơ chế bảo mật cơ bản trên các trình duyệt được gọi là Quy tắc xuất xứ giống nhau.

Theo cùng chính sách xuất xứ, trình duyệt có thể cho phép trang web truy cập dữ liệu từ trang web thứ hai chỉ khi cả hai trang web có cùng nguồn gốc.

Nguồn gốc là gì?

Một nguồn gốc là sự kết hợp của lược đồ URI, tên máy chủ và số cổng. Chính sách này ngăn các tập lệnh độc hại thực thi và truy cập dữ liệu từ các trang web.

CORS nới lỏng chính sách này bằng cách cho phép các trang web khác nhau truy cập dữ liệu để cho phép tương tác theo ngữ cảnh.

Điều này có thể khiến một hacker có được dữ liệu nhạy cảm.

Ví dụ,

Nếu bạn đăng nhập vào Facebook và vẫn đăng nhập và sau đó truy cập một trang web khác, thì có thể những kẻ tấn công có thể đánh cắp thông tin và làm bất cứ điều gì họ muốn với tài khoản Facebook của bạn bằng cách tận dụng chính sách nguồn gốc chéo thoải mái.

Trên một lưu ý nhỏ hơn một chút, nếu người dùng đăng nhập vào tài khoản ngân hàng của mình và quên đăng xuất, tin tặc có thể truy cập vào thông tin đăng nhập của người dùng, giao dịch của anh ta hoặc thậm chí tạo giao dịch mới.

Trình duyệt bằng cách lưu trữ chi tiết người dùng để cookie phiên mở để khai thác.

Tin tặc cũng có thể can thiệp với các tiêu đề để kích hoạt các chuyển hướng không có giá trị.

Chuyển hướng không có giá trị có thể xảy ra khi trình duyệt chấp nhận đầu vào không đáng tin cậy. Điều này, đến lượt nó, chuyển tiếp một yêu cầu chuyển hướng. URL không đáng tin cậy có thể được sửa đổi để thêm đầu vào vào trang web độc hại và do đó khởi chạy các hành vi lừa đảo bằng cách cung cấp các URL xuất hiện giống hệt với trang web thực tế.

Các cuộc tấn công chuyển tiếp và chuyển tiếp không có giá trị cũng có thể được sử dụng để tạo một URL độc hại vượt qua kiểm tra kiểm soát truy cập của ứng dụng và sau đó chuyển tiếp kẻ tấn công đến các chức năng đặc quyền mà chúng thường không thể truy cập.

Đây là những gì các nhà phát triển nên quan tâm để ngăn chặn những điều này xảy ra.

  • Các nhà phát triển nên đảm bảo rằng các URL được thông qua để mở. Nếu đây là các tên miền chéo, thì nó có thể dễ bị tiêm mã.
  • Ngoài ra, hãy chú ý nếu các URL là tương đối hoặc nếu chúng chỉ định một giao thức. Một URL tương đối không chỉ định một giao thức, tức là, chúng tôi sẽ không biết nếu nó bắt đầu bằng HTTP hoặc https. Trình duyệt cho rằng cả hai đều đúng.
  • Donith dựa vào tiêu đề Origin để kiểm tra Access Control vì chúng có thể dễ dàng bị giả mạo.

Làm thế nào để bạn biết nếu CORS được kích hoạt trên một tên miền cụ thể?

Chà, bạn có thể sử dụng các công cụ dành cho nhà phát triển trong trình duyệt để kiểm tra tiêu đề.

Nhắn tin tên miền

Nhắn tin tên miền chéo trước đây không được phép trong các trình duyệt để ngăn chặn các cuộc tấn công tập lệnh chéo trang.

Điều này cũng ngăn cản việc liên lạc hợp pháp giữa các trang web xảy ra, điều này khiến cho hàng loạt tin nhắn tên miền hiện nay.

Tin nhắn web cho phép các API khác nhau tương tác dễ dàng.

Để ngăn chặn các cuộc tấn công kịch bản chéo ở đây, các nhà phát triển nên làm gì.

Họ nên nêu rõ nguồn gốc dự kiến ​​của tin nhắn

  • Các thuộc tính gốc phải luôn được kiểm tra chéo và xác minh dữ liệu.
  • Trang nhận phải luôn kiểm tra thuộc tính gốc của người gửi. Điều này giúp xác minh rằng dữ liệu nhận được thực sự được gửi từ vị trí dự kiến.
  • Trang nhận cũng phải thực hiện xác nhận đầu vào để đảm bảo dữ liệu ở định dạng được yêu cầu.
  • Tin nhắn trao đổi nên được hiểu là dữ liệu không phải là mã.

Lưu trữ tốt hơn

Một tính năng khác của html5 là nó cho phép lưu trữ tốt hơn. Thay vì dựa vào cookie để theo dõi dữ liệu người dùng, trình duyệt được bật để lưu trữ dữ liệu.

HTML5 cho phép lưu trữ trên nhiều cửa sổ, có bảo mật tốt hơn và giữ lại dữ liệu ngay cả sau khi đóng trình duyệt. Có thể lưu trữ cục bộ mà không cần plugin trình duyệt.

Điều này đánh vần các loại rắc rối khác nhau.

Các nhà phát triển nên quan tâm đến những điều sau đây để ngăn chặn kẻ tấn công đánh cắp thông tin.

  • Nếu một trang web lưu trữ mật khẩu người dùng và thông tin cá nhân khác thì tin tặc có thể bị truy cập. Mật khẩu như vậy nếu không được mã hóa có thể dễ dàng bị đánh cắp thông qua API lưu trữ web. Do đó, nó rất khuyến nghị rằng tất cả dữ liệu người dùng có giá trị được mã hóa và lưu trữ.
  • Ngoài ra, nhiều tải trọng phần mềm độc hại đã bắt đầu quét bộ nhớ cache và API lưu trữ để tìm thông tin về người dùng như thông tin tài chính và giao dịch.

Suy nghĩ

HTML5 mang đến cơ hội tuyệt vời cho các nhà phát triển web sửa đổi và làm cho mọi thứ an toàn hơn nhiều.

Phần lớn công việc trong việc cung cấp một môi trường an toàn rơi vào các trình duyệt mặc dù.

Nếu muốn tìm hiểu thêm thì hãy xem thửTìm hiểu HTML5 trong 1 giờ” khóa học.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map