问:是否如一些防病毒厂商所说的一样,新的HTML 5功能为恶意软件编写者提供了新的机遇?能解释一下原因吗?
答:实际上,每一种新技术都会给恶意软件编写者带来新的机遇,新的HTML 5功能也为他们提供了许多机遇。即使 HTML 5具有整合的安全功能,但是仍然有一些攻击者试图攻击它。和其他新技术一样,HTML 5也面临着攻击和安全漏洞调查。HTML 5更复杂,支持的功能(现在多个不同的插件所有的功能)也更多。一般情况下,更广泛的功能更容易导致攻击。代码越多,就越复杂,攻击者可以利用的潜在漏洞也越多。
一种新的高风险HTML 5功能是跨域信任功能。该功能允许不同的域(域名服务器名)在你的Web浏览器的iframe间进行通信。刚开始,这个功能对开发者来说很复杂,它需要认证从其他域来的跨域请求是来自他们所请求的域。虽然这个功能很先进,但技术用户发现很难理解其所包含的风险。恶意软件编写者很可能会试图滥用这个功能以获得敏感数据,因为认证过程可能不会按期望的进程进行。
HTML 5所面临的一个最困难的安全问题是将功能从服务器移到客户端,因为服务器会过度的相信客户。举一个例子,服务器相信数据是来自一个具有有效的非恶意输入的客户端。所以,应该对服务器和应用程序进行编程,来验证从客户端来的数据,以确保它不是恶意的。
【编辑推荐】