2. Hírek
  3. Biztonság

A HTML5 erényei növelik alkalmazásának biztonsági kockázatait is

Habár örvendetes az új webes szabvány, a formálódó HTML5 terjedése és népszerűsége a fejlesztők körében, nem szabad elfeledkezni arról, hogy a mind több feladatot a böngészőbe áthelyező technológiák növelik a biztonsági kockázatok számát – írja a darkreading.com szerzője több szakértő véleményére támaszkodva.

A szakértők szerint a legnagyobb veszélyt az jelenti, hogy a szabvány lehetőségeinek bővítésével mind több adattárolási, illetve -kezelési funkció kerül a kliensprogramokba.

Hirdetés

Adatok a böngészőkben

Az egyik ilyen fontos változás a közelmúltban az volt, hogy a sessionStorage, a localStorage, illetve a kliensoldali adatbázisok lehetővé teszik a fejlesztők számára, hogy nagy mennyiségű adatot tároljanak a böngészőkben, és ezek mindegyike elérhető a JavaScript számára. Ez ugyan hallatlanul kibővíti az offline lehetőségek és a funkciókban gazdag alkalmazások megírását, ám ugyanakkor kiváló terep egy támadó számára, aki viszonylag könnyedén megszerezheti és felhasználhatja az itt tárolt adatokat.

A megkérdezett szakértők szerint az alkalmazásfejlesztőknek kiemelten kell figyelniük ezekre a kockázatokra, és egyrészt meg kell védeni az adatokat, másrészt mérlegelniük kell, hogy milyen adatok és hogyan kerülnek a tárolókba.

Nagyon fontos a hozzáférési jogok kezelése

A másik kérdéses terület a HTML5-öt illetően a hozzáférési jogoké: amikor a felhasználók rendszerszintű szolgáltatások számára (kamera, mikrofon, GPS) adnak meg hozzáférési jogokat, és nem mérik fel, hogy ez milyen veszélyes lehet.

Emellett a kockázatokat az is növeli, hogy a HTML5 megjelenése előtt a JavaScript letöltési képessége korlátozott volt, csak a eredeti oldalhoz férhetett hozzá, ám az úgynevezett cross-origin resource sharing (CORS) technológia lehetővé tette, hogy a JavaScript más doménekhez is intézhessen kéréseket. Ez ugyan szigorú alkalmazási feltételek esetén nagyon hasznos lehet, ám hanyag kódírás esetén ez is újabb kockázati tényező, mivel lehetőséget adhat egy csalási módszer, a klikkeltérítéses támadás, az úgynevezett „clickjakcing” alkalmazására.

Azóta történt

  • Az antivírus nem lift

    A vírusirtó programok tesztelése, összehasonlítása már hosszú évek óta folyik. Ezek célja pedig kettős: információhoz juttatni az antivírusok fejlesztőit, és tájékoztatni, segíteni a választásban a felhasználókat.

    Biztonság 17

Előzmények