增强网络安全同时带来新安全漏洞力量
2021-05-25 22:53:54
面对新的安全问题,火狐浏览器的安全团队想到了使用新版本的络超文本标记语言HTML5。
HTML5的络应用程序非常丰富,该浏览器正开始试图管理十分繁杂的应用程序,而不仅仅是页,Mozilla安全问题专家Sid Stamm近日在华盛顿召开的Usenix安全专题讨论会上表示。
也就是说我们有一个很大的攻击面需要考虑,他说道,而同时他又表示了对HTML5的担忧,Opera浏览器的开发人员正在积极修复一个缓冲区溢出漏洞,这个漏洞可能使用HTML5的画布图像渲染功能被利用。
万维联盟(W3C)发布新一套渲染页标准(统称为HTML5)不可避免地会带来全新的安全漏洞吗?至少有一部分安全研究人员正在考虑这个问题。
HTML5为络世界带来了很多功能和能量,黑客们现在可以更多地对HTML5和JavaScript发动恶意攻击,甚至比以往任何时候都要容易,安全研究人员Lavakumar Kuppan表示。
W3C的重新设计是考虑到我们将开始在浏览器内执行应用程序,多年以来,我们已经见证了浏览器的安全性,安全咨询公司Secure Ideas渗透测试员Kevin Johnson表示,我们必须回过头来理解,浏览器是一种恶意环境。
虽然按照惯例被命名为HTML5,HTML5也常用来形容相互关联标准套的集合,这些标准联合的话,可以用来构建成熟的络应用程序。它们提供的功能包括页面格式化、离线数据存储、图像移交和其他功能。
杜绝经营假冒伪劣农资商品 所有这些新的功能将开始接受安全研究人员的研究。
在今年夏天,Kuppan和另一位安全研究人员公布了滥用HTML5离线应用程序缓存的方法,谷歌Chrome、Safari、Firefox和Opera浏览器测试版都已经部署了这个功能,并且都很容易被这种方法攻击。
研究人员认为,这是因为任何站都可以在用户的计算机上创建一个缓存,并且,在某些浏览器中,这种缓存创建根本没有得到用户的明确许可,攻击者可以设置到一个站的假的登录页面,例如社交站或者电子商务站,随后这种假冒页面可以被用来窃取用户的登录凭证信息。
其他研究人员则对这一发现的价值持不同意见。
这是一个有趣的问题,但它似乎并没有为络攻击者提供比现在更多的额外利用价值,Chris Evans表示,他是VSFTP软件的创造者。
安全研究公司Recursion Ventures公司的首席研究人员Dan Kaminsky赞同这种说法,他认为这种攻击是对HTML5出现前的攻击的延续。浏览器并不只是请求内容、渲染内容并把内容扔掉,浏览器还会存储内容以备日后使用,Lavakumar观察到这个新一代缓存技术也将会有同样的特点。
评论家一致认为,这种攻击将依赖于没有使用SSL来加密浏览器和页服务器间的数据的站,这种站也很常见。但即使这种攻击没有发掘出新的漏洞类型,它也确实表明以前的漏洞在这种新环境中仍然可以被利用。
Johnson表示,对于HTML5,很多新功能都会对其自身的安全构成威胁,因为这些新功能增加了攻击者利用用户的浏览器发动某种形式的攻击的几率。
多年以来,安全问题都集中在漏洞缓冲区溢出和SQL注入攻击上,我们必须修复这些漏洞,并且监控这些漏洞,Johnson表示。但是对于HTML5而言,通常是它本身的功能可以用来攻击我们。
例如,Johnson指出谷歌的Gmail,这是HTML5本地存储功能的早期使用者。在HTML5之前,攻击者可能必须窃取计算机的cookies,然后进行解码以获取电子邮箱服务的密码。现在,攻击者只需要获取到用户浏览器的信息就能发动攻击,因为在浏览器中,Gmail存储了收件箱的副本。
这些功能集是很可怕的,他表示,如果我能够在你的络应用程序中找到一个漏洞,并且注入HTML5代码,我就能修改你的站并且隐藏我不想让你看到的内容。
对于本地存储,攻击者可以从你的浏览器读取数据,或者在你不知情的情况下插入其他数据。对于地理位置,攻击者可以在你不知情的情况下确定你的位置。对于新版本的CSS(层叠样式表),攻击者可以控制你能够看见的CSS增强页的要素。HTML5的WebSocket向浏览器提供了一种络通信协议栈,这可以被滥用来秘密的后门通信。
这并不是说浏览器制造商无视于这个问题。即使他们必须为这个新标准增加新支持,他们正在努力寻找方法来防止攻击者的滥用。在Usenix安全专题座谈会上,Stamm指出火狐团队正在研究的用以缓解这种针对HTML5新技术的攻击的技术。
例如,他们正在研究一种替代插件平台,被称为JetPack,这个平台将可以严格控制插件执行的行动,如果我们能够完全控制应用程序编程接口,我们就可以说这个插件正在访问某某站,是否允许,Stamm表示。
JetPack也可以使用一种声明式安全模式,即插件必须向浏览器声明它将执行的行动,然后浏览器会监测插件来确保它位于这些参数间。
不过,评论家认为,浏览器制造商是否可以采取更多有效措施来确保HTML5的安全仍然还有待观察。
企业已经开始评估是否应该使用这些新功能来应用于浏览器,Johnson表示,这种时候,可能听到平时决不可能听到的话,IE6可能比较好。
南昌宫颈糜烂治疗多少钱江门去哪里看白癜风安顺市白癜风医院贵阳不孕不育医院治疗广东家居哪个售后好
广安治白癜风专业医院
- 上一篇:在移动端有没有未来永恒
- 下一篇:增强网络安全同时带来新安全漏洞容易
-
恋爱的人总以为自己看得见未来
2024-12-09
因为有星,夜才不能黑暗;因为有天,海才一片蔚蓝;因为有梦幻,新生命充满期盼;因为有你,我的世界一片光阴! 幸福情这过道,伤不起。于是,宁可选择去外遇
-
马斯克拜师了张小龙吗?
2024-10-24
踌躇满志入股Twitter的雷诺,突然要向张小龙“取经”了。 5同年16日,雷诺参加一场线上io户外活动,在谈及入股Twitter的诸多问题时,出乎意料地对天涯社区大加称许。
-
九分裤+乐福鞋,夏日这样穿,时髦又显高,很适合小个子
2024-10-13
夏日傍晚,前往篇名,乐声徐徐下劝教蛙声一片。时节,冬天更为替,当夏日是不是前往人们的身边时,你都会看得见区域内的任何事物都早已擦上夏日的情调。 对于
-
2022年高考本科没录取,专科不顾一切,选韩国留学申请本科名校
2024-09-26
研究工作天和院与来得高职之间的差是主观假定的,而且考天和内心深东南侧的落差也是有的。但是并不是从未但他却自由人选择来得好的。日韩进修申请者研究工作天