Hogyan változtatja meg a HTML5 a webbiztonságot?

Google közlemény hogy a vakuval készültek, az volt az utolsó köröm a Flash koporsójában.


Még azt megelőzően a hírességek technokratáinak tetszik Steve Jobs nyíltan beszélt Flash ellen.

A flash elmúltával és a HTML5 megjelenésével egy új korszak kezdődött meg, amely jobban kinéző és jobban működő weboldalakat kínál, amelyek kompatibilisek mind a mobiltelefonokkal, mind a számítógépekkel.

Az adatok továbbítása és fogadása szintén sokkal egyszerűbb lett, mint korábban.

Ugyanakkor bemutatja egyedi kihívásait, amelyeket meg kell nyerni.

Ennek előnye, hogy a html5 a böngészők közötti támogatást és a funkcionalitást egy teljesen új szintre helyezi.

Egyes böngészők nem támogatják az egyes webhelyelemeket, és bosszantó, ha a megjelenési lépésekkel lépve meg kell változtatnunk a webhely elemeit..

A HTML5 elutasítja ezt a követelményt, mivel minden modern böngésző támogatja.

Eredeti eredetű erőforrások megosztása

A származási hely közötti erőforrás-megosztás (CORS) a html5 egyik legbefolyásosabb tulajdonsága, és egyben az, amely a legtöbb lehetőséget kínál a hibákra és a hackerek támadására.

CORS fejléceket határoz meg, amelyek lehetővé teszik a webhelyek számára az eredet meghatározását és a kontextusos interakciók megkönnyítését.

A html5 segítségével a CORS elnémítja az alapvető biztonsági mechanizmust a Ugyanazon származási szabály.

Ugyanazon származási házirend szerint a böngésző csak akkor engedélyezheti a weboldalnak a hozzáférést egy második weboldal adataihoz, ha mindkét oldal azonos származású.

Mi az eredete??

Az eredet az URI séma, a host név és a portszám kombinációja. Ez a házirend megakadályozza, hogy a rosszindulatú szkriptek végrehajthassák és elérjék a weblapok adatait.

A CORS enyhíti ezt a politikát azáltal, hogy lehetővé teszi a különböző webhelyek számára az adatokhoz való hozzáférést a kontextusos interakció lehetővé tétele érdekében.

Ennek eredményeként a hackerek megszerezhetik az érzékeny adatokat.

Például,

Ha bejelentkezett a Facebookba, bejelentkezett marad, majd ellátogat egy másik webhelyre, akkor előfordulhat, hogy a támadók ellophatnak információkat és megtehetnek bármit, amit akarnak, a Facebook-fiókodra, kihasználva a nyugodt származási helyekre vonatkozó irányelveket..

Kissé tompabb megjegyzés: ha a felhasználó be van jelentkezve bankszámlájára, és elfelejti kijelentkezni a hackert, hozzáférhet a felhasználó hitelesítő adataihoz, tranzakcióihoz, vagy akár új tranzakciókat is létrehozhat.

A böngészők a felhasználói adatok tárolásával nyitva hagyják a munkameneti sütiket.

A hackerek a fejlécekkel is zavarhatják az érvénytelen átirányításokat.

Érvénytelen átirányítások akkor fordulhatnak elő, amikor a böngészők elfogadják a nem megbízható bemeneteket. Ez viszont továbbítja az átirányítási kérelmet. A nem megbízható URL módosítható úgy, hogy bemenetet adjon a rosszindulatú webhelyhez, és ezzel adathalász csalásokat indítson el azáltal, hogy megadja a tényleges webhellyel azonos URL-eket.

Az érvénytelen átirányítási és továbbítási támadások felhasználhatók egy olyan URL rosszindulatú elkészítéséhez is, amely meghaladná az alkalmazás hozzáférés-ellenőrzési ellenőrzését, majd továbbküldheti a támadót olyan privilegizált funkciókhoz, amelyekhez általában nem tudnak hozzáférni..

A fejlesztőknek itt kell gondoskodniuk, hogy megakadályozzák ezeket a dolgokat.

  • A fejlesztőknek gondoskodniuk kell arról, hogy az URL-eket átadják a megnyitáshoz. Ha ezek tartományok közötti, akkor sebezhető lehet a kódinjekciókkal szemben.
  • Vegye figyelembe azt is, ha az URL relatív, vagy ha protokollt adnak meg. A relatív URL nem határozza meg a protokollt, azaz nem tudnánk, ha HTTP-vel vagy https-rel kezdődik. A böngésző feltételezi, hogy mindkettő igaz.
  • Ne hagyatkozzon a hozzáférés-ellenőrzés ellenőrzésének Origin fejlécében, mivel ezek könnyen megtéveszthetők.

Honnan tudja, hogy a CORS engedélyezve van-e egy adott domainben?

Nos, felhasználhatja a böngészőben a fejlesztői eszközöket a fejléc megvizsgálására.

Domainek közötti üzenetküldés

A domainek közötti üzenetküldést korábban nem engedélyezték a böngészők, hogy megakadályozzák a webhelyek közötti szkriptek támadásait.

Ez megakadályozta a weboldalak közötti legitim kommunikációt is, amely a legtöbb domainen átnyúló üzenetküldést jelentette.

A webes üzenetküldés lehetővé teszi a különböző API-k könnyű kölcsönhatását.

A fejlesztőknek meg kell tenniük a szkriptírásos támadások megelőzését.

Meg kell adniuk az üzenet várható eredetét

  • A származási attribútumokat mindig ellenőrizni kell és az adatokat ellenőrizni kell.
  • A fogadó oldalnak mindig ellenőriznie kell a küldő származási tulajdonságát. Ez segít ellenőrizni, hogy a kapott adatokat valóban a várt helyről küldték-e el.
  • A fogadó oldalnak bemeneti érvényesítést kell végeznie annak biztosítása érdekében, hogy az adatok a kívánt formátumban legyenek.
  • A kicserélt üzeneteket adatként, nem kódként kell értelmezni.

Jobb tárolás

A html5 másik jellemzője, hogy lehetővé teszi a jobb tárolást. Ahelyett, hogy sütikre támaszkodna a felhasználói adatok nyomon követésére, a böngésző engedélyezte az adatok tárolását.

A HTML5 lehetővé teszi több ablakban történő tárolást, jobb biztonságot nyújt, és még böngésző bezárása után is megőrzi az adatokat. A helyi tárolás böngésző pluginek nélkül lehetséges.

Ez másfajta problémákat fogalmaz meg.

A fejlesztőknek a következő dolgokra kell ügyelniük, hogy megakadályozzák a támadók információt.

  • Ha egy webhely tárolja a felhasználói jelszavakat és egyéb személyes információkat, akkor a hackerek hozzáférhetnek hozzájuk. Az ilyen jelszavak, ha nem vannak titkosítva, könnyen ellophatók a webtároló API-k segítségével. Ezért nagyon javasolt, hogy minden értékes felhasználói adatot titkosítson és tároljon.
  • Ezen túlmenően sok rosszindulatú program hasznos terhelése már megkezdte a böngésző gyorsítótárainak és a tároló API-knak a felhasználói információk, például tranzakciós és pénzügyi információk keresését..

Záró gondolatok

A HTML5 kiváló lehetőségeket kínál a webfejlesztőknek a változtatásokra és a dolgok sokkal biztonságosabbá tételére.

A biztonságos környezet biztosításában végzett munka nagy része azonban a böngészőkre hárul.

Ha szeretne többet megtudni, akkor nézd meg a „Tanulja meg a HTML5-et 1 óra alatt” tanfolyam.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map