Hoe verander HTML5 websekerheid?

Google se aankondiging dat hulle met flits klaar is, was die laaste spyker in die kis van Flash.


Selfs voor dit, beroemdheidstegnokrate soos Steve Jobs openlik teen Flash gepraat.

Met die afbreek van die flits en die opkoms van HTML5, is daar ‘n nuwe era ingelui wat ‘n beter en beter funksionerende webwerwe bevat wat versoenbaar is met sowel selfone as rekenaars..

Die oordra en ontvang van data het ook baie meer eenvoudig geword as voorheen.

Dit bied egter sy unieke uitdagings wat gewen moet word.

Die voordeel hiermee is dat html5 ondersteuning en funksionaliteit tussen die blaaier na ‘n heel nuwe vlak neem.

Sekere blaaiers ondersteun nie individuele werfelemente nie, en dit is frustrerend om die werfelemente te verander om tred te hou met die voorkoms.

HTML5 verwerp die vereiste omdat alle moderne blaaiers dit ondersteun.

Kruis-oorsprong hulpbrondeling

Kruis-oorsprong hulpbrondeling (CORS) is een van die mees invloedryke kenmerke van html5 en ook die beste moontlikheid vir foute en hacker-aanvalle.

kor definieer opskrifte om webwerwe te help om oorsprong te definieer en om kontekstuele interaksies te vergemaklik.

Met html5 CORS demp die fundamentele sekuriteitsmeganisme op blaaiers wat die Dieselfde oorsprongreël.

Onder dieselfde oorsprongbeleid kan ‘n blaaier ‘n webblad toelaat om toegang tot data vanaf ‘n tweede webblad te verkry as beide webbladsye dieselfde oorsprong het.

Wat is ‘n oorsprong?

‘N Oorsprong is ‘n kombinasie van URI-skema, gasheernaam en poortnommer. Hierdie beleid verhoed dat kwaadwillige skripte data vanaf webblaaie uitvoer en toegang daartoe kry.

CORS verslap hierdie beleid deur verskillende webwerwe toegang tot data moontlik te maak om kontekstuele interaksie moontlik te maak.

Dit kan daartoe lei dat ‘n hacker gevoelige data in die hande kry.

Byvoorbeeld,

As u by Facebook aangemeld is en aangemeld bly en dan ‘n ander webwerf besoek, is dit moontlik dat die aanvallers inligting kan steel en alles wat hulle wil op u Facebook-rekening kan doen deur gebruik te maak van die ontspanne beleid oor oorsprong.

Op ‘n effens laer noot, as ‘n gebruiker by sy bankrekening aanmeld en vergeet om af te meld, kan die hacker toegang kry tot die gebruiker se geloofsbriewe, sy transaksies of selfs nuwe transaksies skep..

Blaaiers deur gebruikersdetails te stoor, laat sessiekoekies oop vir gebruik.

Hackers kan ook met die opskrifte meng om ongeldige aansture te aktiveer.

Ongeldige aansture kan plaasvind wanneer blaaiers onbetroubare invoer aanvaar. Dit stuur op sy beurt weer ‘n herleidingversoek aan. Die onbetroubare URL kan gewysig word om ‘n invoer op die kwaadwillige webwerf te voeg en dus phishing-swendelary te begin deur URL’e te verskaf wat identies is aan die werklike webwerf.

Ongeldige aansture vir aansture en aanstuur kan ook gebruik word om ‘n URL kwaadwillig te ontwerp wat die toegangsbeheerkontrole van die toepassing sal slaag en die aanvaller dan kan deurstuur na bevoorregte funksies wat hulle gewoonlik nie sou kon bekom nie.

Dit is waarvoor ontwikkelaars moet sorg om te voorkom dat hierdie dinge gebeur.

  • Ontwikkelaars moet toesien dat URL’s deurgegee word om oop te maak. As dit kruisdomein is, kan dit kwesbaar wees vir kode-inspuitings.
  • Let ook op as die URL’s relatief is of as hulle ‘n protokol spesifiseer. ‘N Relatiewe URL spesifiseer nie ‘n protokol nie, dit wil sê, ons weet nie of dit met HTTP of https begin nie. Die blaaier aanvaar dat albei waar is.
  • Vertrou nie op die oorsprongkop vir toegangsbeheer nie, want dit kan maklik bedrieg word.

Hoe weet u of CORS op ‘n spesifieke domein aangeskakel is??

Wel, u kan ontwikkelaarinstrumente in die blaaier gebruik om die bladsykop te ondersoek.

Boodskappe oor domeine

Boodskappe oor ander domeine is vroeër nie in blaaiers toegelaat om aanvalle op die skripte op enige terrein te voorkom nie.

Dit het ook verhoed dat wettige kommunikasie tussen webwerwe plaasvind, wat nou die grootste deel van die boodskappe oor domeine maak.

Met webboodskappe kan verskillende API’s maklik kommunikeer.

Dit is wat ontwikkelaars moet doen om kruisskripaanvalle te voorkom.

Hulle moet die verwagte oorsprong van die boodskap noem

  • Die oorsprongkenmerke moet altyd gekruis en gekontroleer word.
  • Die ontvangsbladsy moet altyd die oorsprongseienskap van die sender nagaan. Dit help om te verifieer dat die ontvangde data wel vanaf die verwagte ligging gestuur word.
  • Die ontvangsbladsy moet ook insetvalidering uitvoer om te verseker dat data in die vereiste formaat is.
  • Uitgewisselde boodskappe moet geïnterpreteer word as data wat nie kodeer nie.

Beter berging

‘N Ander kenmerk van html5 is dat dit beter stoorplek moontlik maak. In plaas daarvan om op koekies staat te maak om gebruikerdata op te spoor, kan die blaaier data stoor.

HTML5 maak voorsiening vir berging in verskeie vensters, het ‘n beter veiligheid en behou data, selfs nadat u ‘n blaaier gesluit het. Plaaslike berging is moontlik sonder blaaierproppe.

Dit spel verskillende probleme uit.

Ontwikkelaars moet die volgende dinge oppas om te voorkom dat aanvallers inligting steel.

  • As ‘n webwerf wagwoorde en ander persoonlike inligting van die gebruiker berg, kan hackers dit verkry. Sulke wagwoorde, indien nie geïnkripteer nie, kan maklik gesteel word via webstoor-API’s. Daarom word sterk aanbeveel dat alle waardevolle gebruikersdata geïnkripteer en geberg word.
  • Daarbenewens het baie malware-laai vragte al begin blaai cache en stoor API’s om inligting oor gebruikers soos transaksie en finansiële inligting te vind.

Slotgedagtes

HTML5 bied uitstekende geleenthede vir webontwikkelaars om dinge te verander en veiliger te maak.

Die grootste deel van die werk in die verskaffing van ‘n veilige omgewing val egter op die blaaiers.

As u meer wil leer, lees dan “Leer HTML5 binne 1 uur” kursus.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map