Как HTML5 променя уеб сигурността?

на Google обявление че те са свършили със светкавица беше последният пирон в ковчега на Flash.


Още преди това известни технократи харесват Стийв Джобс открито заговори срещу Флаш.

С прекратяването на светкавицата и възхода на HTML5 беше въведена нова ера, която разполага с по-добре изглеждащи и по-добре функциониращи уебсайтове, съвместими с мобилни телефони и компютри.

Прехвърлянето на данни и получаването им също стана много по-лесно от преди.

Тя обаче представя своите уникални предизвикателства, които трябва да бъдат спечелени.

Предимството при това е, че html5 извежда кръстосана браузър поддръжка и функционалност на съвсем ново ниво.

Някои браузъри не поддържат отделни елементи на сайта и е неприятно да се налага да променяте елементите на сайта, за да сте в крак с външния вид.

HTML5 отхвърля това изискване, тъй като всички съвременни браузъри поддържат.

Споделяне на ресурси с кръстосан произход

Споделянето на ресурси с кръстосан произход (CORS) е една от най-влиятелните характеристики на html5, а също и тази, която създава най-много възможности за грешки и хакерски атаки.

CORS дефинира заглавки, за да помогне на сайтовете да определят произхода и да улесняват контекстуалните взаимодействия.

С html5 CORS заглушава основния механизъм за защита на браузърите, наречен the Същото правило за произход.

Съгласно една и съща политика за произход, браузърът може да позволи на уеб страница да получи достъп до данни от втора уеб страница, само ако и двете уеб страници имат един и същ произход.

Какво е произход?

Произходът е комбинация от URI схема, име на хост и номер на порт. Тази политика не позволява на злонамерените скриптове да изпълняват и да имат достъп до данни от уеб страници.

CORS облекчава тази политика, като дава възможност на различни сайтове достъп до данни за позволяване на контекстуално взаимодействие.

Това може да накара хакера да се докопа до чувствителни данни.

Например,

Ако сте влезли във Facebook и продължите да сте влезли и след това посетите друг сайт, тогава е възможно нападателите да откраднат информация и да направят всичко, което пожелаят, във вашия акаунт във Facebook, като се възползват от спокойна политика за кръстосан произход.

За малко по-плаха бележка, ако потребителят влезе в банковата си сметка и забрави да излезе от хакера, може да получи достъп до идентификационните данни на потребителя, неговите транзакции или дори да създаде нови транзакции.

Браузърите, съхранявайки потребителските данни, оставят бисквитките от сесията отворени за експлоатация.

Хакерите също могат да се намесват с заглавките, за да задействат невалидни пренасочвания.

Невалидни пренасочвания могат да се случат, когато браузърите приемат ненадежден вход. Това от своя страна препраща искане за пренасочване. Ненадеждният URL адрес може да бъде променен, за да добави вход към злонамерения сайт и по този начин да стартира фишинг измами, като предостави URL адреси, които изглеждат идентични с действителния сайт.

Невалидните атаки за пренасочване и пренасочване могат също да бъдат използвани за злонамерено изработване на URL адрес, който ще премине проверката за контрол на достъпа на приложението и след това препраща атакуващия към привилегировани функции, до които обикновено няма да имат достъп.

Ето какво трябва да се погрижат разработчиците, за да не се случват тези неща.

  • Разработчиците трябва да гарантират, че URL адресите се предават за отваряне. Ако това е кръстосан домейн, тогава той може да бъде уязвим за инжекции с код.
  • Също така обърнете внимание дали URL адресите са относителни или ако посочват протокол. Относителният URL адрес не посочва протокол, т.е. няма да знаем дали той започва с HTTP или https. Браузърът приема, че и двете са верни.
  • Не разчитайте на заглавката на Origin за проверки за контрол на достъпа, тъй като те могат лесно да бъдат подправени.

Как да разберете дали CORS е активиран в определен домейн?

Е, можете да използвате инструменти за разработчици в браузъра, за да разгледате заглавката.

Съобщения между домейни

Съобщенията с кръстосани домейни по-рано бяха забранени в браузърите, за да се предотвратят атаки за скриптове на различни сайтове.

Това също попречи на законната комуникация между уебсайтовете да се случи, което направи по-голямата част от съобщенията между домейни сега.

Уеб съобщенията позволяват на различни API да взаимодействат лесно.

За да предотвратите кръстосани скриптове, ето какво трябва да направят разработчиците.

Те трябва да посочат очаквания произход на съобщението

  • Атрибутите за произход винаги трябва да се проверяват кръстосано и да се проверяват данните.
  • Страницата, която получава, винаги трябва да проверява атрибута за произход на подателя. Това помага да се потвърди дали получените данни наистина са изпратени от очакваното място.
  • Получаващата страница също трябва да извърши проверка на входа, за да се увери, че данните са в необходимия формат.
  • Обменените съобщения трябва да се тълкуват като данни, а не код.

По-добро съхранение

Друга характеристика на html5 е, че позволява по-добро съхранение. Вместо да разчита на бисквитките, за да следи потребителските данни, браузърът е активиран да съхранява данни.

HTML5 позволява съхранение в множество прозорци, има по-добра сигурност и запазва данни дори след затваряне на браузър. Локалното съхранение е възможно без плъгини на браузъра.

Това изписва различни видове проблеми.

Разработчиците трябва да се погрижат за следните неща, за да предотвратят нападателите да откраднат информация.

  • Ако сайт съхранява паролите на потребителя и друга лична информация, тогава хакерите могат да получат достъп до него. Такива пароли, ако не са шифровани, могат лесно да бъдат откраднати чрез API за уеб съхранение. Затова силно се препоръчва всички ценни потребителски данни да бъдат криптирани и съхранявани.
  • Освен това много полезни натоварвания за злонамерен софтуер вече са започнали сканиране на кешове за браузър и API за съхранение, за да намерят информация за потребители като транзакционна и финансова информация.

Заключителни мисли

HTML5 предлага отлични възможности за уеб разработчиците да променят и да направят нещата много по-сигурни.

По-голямата част от работата за осигуряване на сигурна среда обаче пада върху браузърите.

Ако желаете да научите повече, проверете „Научете HTML5 за 1 час”Курс.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map