欧盟计算机安全局发出警告:由于HTML5的部分代码正在重写,其并不完善的标准可能会忽略一些重要的安全问题。
本周一,欧洲网络与信息安全局(ENISA)发布了一份分析HTML5的长达61页的文档,这是对网络编码基本语言HTML5的最新一份规范单。
HTML5由世界万维网联盟(W3C)所编辑。截止到周二,W3C接受对其最新HTML5草案的评论,而ENISA刚好提前一天完成了其建议书。
ENISA安全服务项目经理Giles Hogben说:“特别的事情在于这是第一次有人从安全角度来总体看待这些成套的规范”。
HTML5规范极为重要,因为接下来几年,应用程序设计师和网络开发商要使用HTML5作为规范标准。要知道上一代的HTML4规范自从1999年以后就一直在使用。
如果针对浏览器的该规范还不能达到标准,那么普通消费者与企业用户将会被置于风险之中。现在每个人都在使用浏览器做各类事情,因而规范相当重要。
ENISA查看了HTML5内的13个规范,发现了51个安全问题。一些问题能通过微小的调整解决,然而其他的问题更多是基于用户需要被提醒注意的功能之上。在建议书中,其中一个让ENISA担忧的功能是所谓的“表单篡改”。
HTML5规范允许通过点击“提交”按钮将基于网络的表单安放到网页上的任意位置,这意味着攻击者可能会感染网页上其他的HTML。比如点击一个不同的表单按键就会导致表单中的信息被发送给攻击者,而不是合法的网站。
Hogben接着说道:“新的功能设计是为了便于开发者。我们并不是在暗示W3C应该取消这项功能,只是说用户应该小心由此带来的风险。”
ENISA也对如何使用浏览器提出了建议,比如用户做在线银行交易时,应该使用不同的浏览器,或者在使用多选项卡浏览器时至少有“沙盒式的会话”。沙盒式的浏览器会话可以避免其他的选项卡(可能包含攻击页面)利用宽松的设置或权限设置来攻击整个浏览器应用程序。
ENISA计划将其建议书寄送给个人WEC工作组,这些工作组将会在2012年1月以前修订好规范。
【编辑推荐】