Cum modifică HTML5 securitatea web?

Google anunţ că s-au terminat cu bliț a fost ultima unghie din sicriul lui Flash.


Chiar înainte de asta, tehnocrații celebrităților le plac Steve Jobs a vorbit deschis împotriva Flash.

Odată cu dispariția flash-ului și creșterea HTML5, a fost creată o nouă eră, care oferă site-uri web cu aspect mai bun și care funcționează mai bine, care sunt compatibile cu mobilele și computerele deopotrivă..

Transferul de date și primirea acestora au devenit, de asemenea, mult mai simple decât înainte.

Cu toate acestea, prezintă provocările sale unice care trebuie câștigate.

Avantajul acestui lucru este că html5 duce suportul și funcționalitatea cross-browserului la un nivel cu totul nou.

Anumite browsere nu acceptă elemente individuale ale site-ului și este frustrant să trebuiască să schimbe elementele site-ului pentru a fi la curent cu aparențele.

HTML5 renunță la această cerință, deoarece toate browserele moderne acceptă.

Împărțirea resurselor încrucișate

Distribuirea resurselor încrucișate (CORS) este una dintre cele mai influente caracteristici ale html5 și, de asemenea, una care codifică cele mai multe posibilități de greșeli și atacuri de hackeri.

CORS definește anteturile pentru a ajuta site-urile să definească originile și să faciliteze interacțiunile contextuale.

Cu html5 CORS mută mecanismul fundamental de securitate pe browsere numit Aceeași regulă de origine.

Sub aceeași politică de origine, un browser poate permite unei pagini web să acceseze date dintr-o a doua pagină web doar dacă ambele pagini web au aceeași origine.

Ce este o origine?

O origine este o combinație de schemă URI, nume de gazdă și număr de port. Această politică împiedică scripturile dăunătoare să execute și să acceseze date din paginile web.

CORS relaxează această politică permițând accesul diferitelor site-uri la date pentru a permite interacțiunea contextuală.

Acest lucru poate determina un hacker să pună mâna pe date sensibile.

De exemplu,

Dacă v-ați conectat la Facebook și rămâneți conectat și apoi vizitați un alt site, atunci este posibil ca atacatorii să fure informații și să facă tot ce doresc în contul dvs. Facebook, profitând de politica relaxată încrucișată.

Pe o notă ceva mai drăguță, dacă un utilizator este deconectat în contul său bancar și uită să se deconecteze, hackerul ar putea avea acces la datele de acreditare ale utilizatorului, la tranzacțiile sale sau chiar să creeze noi tranzacții..

Navigatoarele prin stocarea detaliilor utilizatorului lasă cookie-urile de sesiune deschise pentru exploatare.

De asemenea, hackerii pot interacționa cu anteturile pentru a declanșa redirecții nevalidate.

Redirecții nevalidate se pot întâmpla atunci când browserele acceptă intrarea de încredere. Acesta, la rândul său, transmite o solicitare de redirecționare. Adresa URL de încredere poate fi modificată pentru a adăuga o intrare la site-ul rău intenționat și, prin urmare, să lanseze escrocherii de phishing prin furnizarea de URL-uri care par identice cu site-ul real.

Atacurile redirecționare și înaintare nevalidate pot fi de asemenea folosite pentru a crea cu răutate o adresă URL care ar trece verificarea controlului de acces a aplicației și apoi a înainta atacatorul către funcții privilegiate pe care de obicei nu le vor putea accesa..

Iată ce ar trebui să aibă grijă dezvoltatorii pentru a preveni aceste lucruri.

  • Dezvoltatorii ar trebui să se asigure că adresele URL sunt transmise pentru a fi deschise. Dacă acestea sunt domenii încrucișate, atunci poate fi vulnerabil la injecțiile de cod.
  • De asemenea, acordați atenție dacă adresele URL sunt relative sau dacă specifică un protocol. O adresă URL relativă nu specifică un protocol, adică nu știm dacă începe cu HTTP sau https. Browserul presupune că ambele sunt adevărate.
  • Nu vă bazați pe antetul de origine pentru verificările controlului de acces, deoarece acestea pot fi ușor răsfățate.

De unde știți dacă CORS este activat pe un anumit domeniu?

Ei bine, puteți utiliza instrumente pentru dezvoltatori în browser pentru a examina antetul.

Mesagerie transversală

Mesajele de mai multe domenii au fost anterior refuzate în browsere pentru a preveni atacurile de scripturi încrucișate.

Acest lucru a împiedicat, de asemenea, comunicarea legitimă între site-urile web, ceea ce a făcut cea mai mare parte a mesajelor inter-domeniu acum.

Mesageria web permite diferitelor API să interacționeze cu ușurință.

Pentru a preveni atacurile de scripturi încrucișate, iată ce ar trebui să facă dezvoltatorii.

Aceștia ar trebui să indice originea preconizată a mesajului

  • Atributele de origine trebuie să fie întotdeauna verificate și verificate pentru date.
  • Pagina de primire ar trebui să verifice întotdeauna atributul de origine al expeditorului. Acest lucru ajută la verificarea faptului că datele primite sunt într-adevăr trimise din locația preconizată.
  • Pagina de primire ar trebui să efectueze, de asemenea, validarea intrării pentru a se asigura că datele sunt în formatul dorit.
  • Mesajele schimbate ar trebui interpretate ca date care nu sunt codificate.

Depozitare mai bună

O altă caracteristică a html5 este că permite o mai bună stocare. În loc să se bazeze pe cookie-uri pentru a ține evidența datelor utilizatorilor, browserul este activat pentru a stoca date.

HTML5 permite stocarea pe mai multe ferestre, are o mai bună securitate și păstrează datele chiar și după închiderea unui browser. Spațiul de stocare local este posibil fără plugin-uri de browser.

Aceasta vrăjește diferite probleme.

Dezvoltatorii ar trebui să aibă grijă de următoarele lucruri pentru a împiedica atacatorii să fure informații.

  • Dacă un site păstrează parolele utilizatorului și alte informații personale, atunci hackerii ar putea fi accesați. Astfel de parole, dacă nu sunt criptate, pot fi furate cu ușurință prin API-urile de stocare web. Prin urmare, este foarte sugerat ca toate datele valoroase ale utilizatorului să fie criptate și stocate.
  • În plus, multe sarcini utile malware au început deja să scaneze memoriile în cache și API-urile de stocare pentru a găsi informații despre utilizatori precum informații tranzacționale și financiare.

Gânduri încheiate

HTML5 oferă oportunități excelente pentru dezvoltatorii web de a modifica și de a face lucrurile mult mai sigure.

Totuși, cea mai mare parte a activității în asigurarea unui mediu sigur revine browserelor.

Dacă sunteți interesat să aflați mai multe, consultați „Aflați HTML5 în 1 oră”Desigur.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map