HTML5 چطور امنیت وب را تغییر می دهد؟

Google اعلام که آنها با فلش انجام شده آخرین ناخن در تابوت Flash بود.


حتی قبل از آن ، تکنوکرات های مشهور دوست دارند استیو جابز علناً علیه فلش صحبت کرد.

با از بین رفتن فلاش و ظهور HTML5 ، عصر جدیدی به وجود آمده است که دارای وب سایت های به ظاهر بهتر و با عملکردی بهتر و سازگار با موبایل و رایانه های شخصی است..

انتقال داده و دریافت آن نیز بسیار ساده تر از گذشته شده است.

با این وجود چالشهای منحصر به فرد خود را که باید برنده شوید ارائه می دهد.

مزیت این امر این است که html5 پشتیبانی و عملکرد متقابل مرورگر را به یک سطح کاملاً جدید می برد.

برخی از مرورگرها از عناصر سایت جداگانه پشتیبانی نمی کنند ، و ناامید کننده است که مجبور شوید عناصر سایت را تغییر دهید تا در ظاهر حضور داشته باشید.

HTML5 از آنجا که همه مرورگرهای مدرن از آن پشتیبانی می کنند ، این نیاز را رد می کنند.

اشتراک منابع متقابل

اشتراک منابع متقابل (CORS) یکی از تأثیرگذارترین ویژگی های html5 و همچنین ویژگی ای است که بیشترین امکان را برای اشتباهات و حملات هکرها فراهم می کند..

CORS هدرها را برای کمک به سایتها برای تعریف مبدا و تسهیل تعامل متنی تعریف می کند.

با html5 CORS سازوکار امنیتی اساسی در مرورگرهایی به نام “بی صدا” قطع می شود همان اصل مبدا.

تحت همان خط مشی مبدأ ، یک مرورگر می تواند به یک صفحه وب اجازه دهد به داده ها از یک صفحه وب دوم دسترسی یابد تنها در صورتی که هر دو صفحه دارای منشا یکسان باشند.

منشأ چیست?

مبدأ ترکیبی از طرح URI ، نام میزبان و شماره درگاه است. این خط مشی مانع از اجرای و دسترسی به اسکریپت های مخرب از صفحات وب می شود.

CORS با فعال کردن سایتهای مختلف به داده ها برای اجازه تعامل متنی ، این سیاست را آرام می کند.

این می تواند هکر را به سمت دستیابی به داده های حساس سوق دهد.

برای مثال,

اگر وارد فیس بوک شده اید و وارد سایت خود شده اید و سپس به سایت دیگری مراجعه می کنید ، این احتمال وجود دارد که مهاجمان بتوانند با استفاده از سیاست آرامش یافته متقابل ، اطلاعات را به سرقت برده و هر کاری را که مایل به حساب Facebook شما هستند انجام دهند..

با یک یادداشت کمی دقیق تر ، اگر یک کاربر به حساب بانکی خود وارد شوید و فراموش کند که هکر بتواند به اعتبار کاربر کاربر ، معاملات خود یا حتی ایجاد معاملات جدید دسترسی پیدا کند.

مرورگرها با ذخیره سازی اطلاعات کاربر ، کوکی های جلسه را برای بهره برداری باز می کنند.

هکرها همچنین می توانند با هدرها به هم بزنند تا تغییر مسیرهای معتبر را انجام دهند.

وقتی مرورگرها ورودی غیرقابل اعتماد را می پذیرند ، تغییر مسیرهای معتبر ممکن است رخ دهد. این به نوبه خود یک درخواست تغییر مسیر را ارسال می کند. URL غیر قابل اعتماد می تواند اصلاح شود تا یک ورودی به سایت مخرب اضافه شود و از این رو کلاهبرداری فیشینگ را با ارائه URL هایی که با سایت واقعی یکسان هستند راه اندازی کنید..

همچنین می توان از حملات تغییر مسیر و پیشفرض نامعتبر استفاده کرد تا یک URL را به طرز مخرب ایجاد کند که بتواند از کنترل کنترل دسترسی برنامه عبور کند و سپس مهاجم را به سمت عملکردهای ممتازی سوق دهد که به طور معمول قادر به دسترسی به آنها نخواهند بود.

این مواردی است که توسعه دهندگان باید از آنها مراقبت کنند تا از وقوع این اتفاقات جلوگیری شود.

  • توسعه دهندگان باید اطمینان حاصل کنند که URL ها برای باز شدن منتقل می شوند. اگر اینها مقطعی هستند ، در معرض تزریق کد قرار دارند.
  • همچنین ، اگر URL ها نسبی هستند یا پروتکل مشخص می کنند ، توجه کنید. یک URL نسبی پروتکل مشخص نمی کند ، یعنی نمی دانیم از HTTP یا https شروع می شود یا خیر. مرورگر فرض می کند که هر دو واقعیت دارند.
  • به بررسی های کنترل دسترسی دسترسی نداشته باشید به عنوان اصلی مبدا اعتماد کنید زیرا می توانند به راحتی از بین بروند.

چگونه می دانید CORS در یک دامنه خاص فعال شده است یا خیر?

خوب ، می توانید از ابزارهای توسعه دهنده در مرورگر برای بررسی عنوان استفاده کنید.

پیام های متقابل دامنه

پیغام های متقابل دامنه قبلاً در مرورگرها مجاز نبودند تا از حملات اسکریپت کراس سایت جلوگیری کنند.

این امر همچنین مانع از برقراری ارتباط قانونی بین وب سایت ها شد که اکنون بخش عمده ای از ارسال پیام های متقابل را به وجود آورده است.

پیام رسانی وب به API های مختلف اجازه می دهد تا با سهولت در تعامل قرار گیرند.

برای جلوگیری از حملات کپی برداری متقابل در اینجا کارهایی است که توسعه دهندگان باید انجام دهند.

آنها باید منشأ مورد انتظار پیام را بیان کنند

  • صفات مبدا همیشه باید به صورت متقاطع بررسی شوند و داده ها تأیید شوند.
  • صفحه دريافتي بايد همواره ويژگي مبدا فرستنده را بررسي كند. این کمک می کند تا تأیید کند که داده های دریافت شده در واقع از محل مورد انتظار ارسال شده اند.
  • صفحه دریافت نیز باید اعتبار ورودی را انجام دهد تا اطمینان حاصل شود که داده ها در قالب موردنیاز است.
  • پیامهای رد و بدل شده باید به عنوان داده ای بدون کد تعبیر شوند.

بهتر ذخیره سازی

یکی دیگر از ویژگی های html5 ، امکان ذخیره بهتر آن است. به جای تکیه بر کوکی ها برای پیگیری داده های کاربر ، مرورگر برای ذخیره داده ها فعال می شود.

HTML5 امکان ذخیره در چندین ویندوز را فراهم می کند ، از امنیت بهتری برخوردار است و حتی پس از بستن مرورگر ، داده ها را نیز حفظ می کند. ذخیره سازی محلی بدون افزونه های مرورگر امکان پذیر است.

این مشکلات مختلفی را ایجاد می کند.

برای جلوگیری از سرقت اطلاعات مهاجمان ، توسعه دهندگان باید از موارد زیر مراقبت کنند.

  • اگر سایتی رمزهای عبور کاربر و سایر اطلاعات شخصی را ذخیره کند ، توسط هکرها قابل دسترسی است. چنین رمزهای عبور اگر رمزگذاری نشوند می توانند به راحتی از طریق API های ذخیره سازی وب سرقت شوند. از این رو به شدت پیشنهاد شده است که تمام داده های ارزشمند کاربر رمزگذاری و ذخیره می شوند.
  • علاوه بر این ، بسیاری از بارهای بدافزار قبلاً اسکن کردن حافظه پنهان مرورگر و API های ذخیره را آغاز کرده اند تا اطلاعاتی را در مورد کاربرانی مانند اطلاعات تراکنش و مالی دریافت کنند..

نتیجه گیری افکار

HTML5 برای توسعه دهندگان وب فرصت های بسیار خوبی را ارائه می دهد تا همه چیز را بسیار امن تر و اصلاح کنند.

بخش عمده ای از کار در تهیه یک محیط امن هرچند در مرورگرها قرار می گیرد.

اگر علاقمند به یادگیری بیشتر هستید ، بررسی کنید “HTML5 را در 1 ساعت یاد بگیرید” دوره.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map