HTML5 يرفع مشكلات الأمان الجديدة

عندما يتعلق الأمر بالأمان الجديد القضايا ، فريق الأمن لمتصفح فايرفوكس لديك الإصدار الجديد من لغة ترميز النص التشعبي على الويب ، HTML5 ، قبل كل شيء في العقل.

"أصبحت تطبيقات الويب غنية بشكل لا يصدق مع HTML5. يبدأ المتصفح في إدارة التطبيقات الكاملة التجميع وليس فقط صفحات الويب ، "قال سيد ستام ، الذي يعمل على قضايا الأمن في فايرفوكس لمؤسسة موزيلا. كان ستام يتحدث في ندوة الأمن في الولايات المتحدة ، التي عقدت الأسبوع الماضي في واشنطن العاصمة

"هناك الكثير من سطح الهجوم الذي نحتاج إلى التفكير فيه."

في نفس الأسبوع أعربت ستام عن قلقها بشأن HTML5 ، والمطورين من متصفح Opera مشغولًا بإصلاح ثغرة تجاوز سعة المخزن المؤقت التي يمكن استغلالها باستخدام ميزة عرض صورة قماش HTML5

هل من الحتمي أن تكون مجموعة معايير اتحاد شبكة الويب العالمية (W3C) جديدة لتقديم صفحات الويب ، والمعروفة بشكل جماعي كما HTML5 ، تأتي مع مجموعة جديدة كاملة من نقاط الضعف؟ يفكر بعض الباحثين الأمنيين على الأقل في أن هذه هي الحالة.

"يجلب HTML5 الكثير من الميزات والقوة إلى الويب. يمكنك القيام بالمزيد من العمل [الخبيث] باستخدام HTML5 وجافا سكريبت الآن أكثر من أي وقت مضى وقال الباحث الأمني ​​"لافاكومار كوبان": "إن W3C" تستعد لإعادة تصميمها بالكامل على فكرة أننا سنبدأ في تنفيذ التطبيقات داخل المتصفح ، وقد أثبتنا على مر السنين مدى أمان المستعرضات "، هذا ما قاله كيفن جونسون ، اختبار الاختراق مع شركة الاستشارات الأمنية Secure Ideas. "يجب أن نعود إلى فهم أن المتصفّح بيئة خبيثة. لقد فقدنا موقع ذلك."

على الرغم من أنّه اسم مواصفة من تلقاء نفسه ، غالبًا ما يستخدم HTML5 لوصف مجموعة من المجموعات المترابطة من المعايير التي يمكن استخدامها معًا لبناء تطبيقات الويب الكاملة. وهي توفر إمكانات مثل تنسيق الصفحات ، وتخزين البيانات دون اتصال ، وتسليم الصور وغيرها من الجوانب. (على الرغم من أنها ليست من مواصفات W3C ، فإن جافا سكريبت غالبًا ما يتم جمعها في هذه المعايير ، لذا تستخدم على نطاق واسع في بناء تطبيقات الويب).

كل هذه الوظيفة الجديدة المقترحة بدأ استكشافها من قبل الباحثين الأمنيين.

في وقت سابق من هذا الصيف نشر Kuppan وباحث آخر طريقة لإساءة استخدام ذاكرة التخزين المؤقت لتطبيق HTML5 بلا اتصال. وقد قام كل من Google Chrome و Safari و Firefox و beta لمتصفح Opera بتطبيق هذه الميزة بالفعل ، وسيكونون عرضة للهجمات التي استخدمت هذا الأسلوب ، كما لاحظوا ذلك.

يجادل الباحثون أنه نظرًا لأنه يمكن لأي موقع ويب إنشاء ذاكرة تخزين مؤقت على على جهاز الكمبيوتر الخاص بالمستخدم ، وفي بعض المتصفحات ، القيام بذلك دون إذن صريح من ذلك المستخدم ، يمكن للمهاجم إعداد صفحة تسجيل دخول مزيفة إلى موقع مثل شبكة اجتماعية أو موقع تجارة إلكترونية. يمكن استخدام مثل هذه الصفحة المزورة لسرقة بيانات اعتماد المستخدم.

تم تقسيم الباحثين الآخرين حول قيمة هذا الاستنتاج.

"إنه تطور مثير للاهتمام ولكن لا يبدو أنه يوفر لمهاجمين الشبكة أي ميزة إضافية تتجاوز "يمكن أن يحققوا بالفعل" ، كتب كريس إيفانز في القائمة البريدية للإفصاح الكامل. إيفانز هو منشئ برنامج بروتوكول نقل الملفات الآمن (vsftp).

وافق دان كامينسكي ، كبير العلماء في شركة الأبحاث الأمنية Recursion Ventures ، على أن هذا العمل هو استمرار للهجمات التي تم تطويرها قبل HTML5. وقال في مقابلة عبر البريد الالكتروني "المتصفحات لا تطلب فقط المحتوى وتجعلها وتلقيها بعيدا. كما أنها تخزنها لاستخدامها فيما بعد … يلاحظ لافاكومار أن تقنيات التخزين المؤقت للجيل القادم تعاني من نفس هذه الميزة."

وافق النقاد على أن هذا الهجوم سيعتمد على موقع لا يستخدم طبقة مآخذ التوصيل الآمنة (SSL) لتشفير البيانات بين المستعرض وخادم صفحة الويب ، والذي يمارس عادة. ولكن حتى إذا لم يكشف هذا العمل عن نوع جديد من الثغرات الأمنية ، فإنه يُظهر أنه يمكن إعادة استخدام ثغرة قديمة في هذه البيئة الجديدة.

يقول جونسون أنه مع HTML5 ، فإن العديد من الميزات الجديدة تشكل تهديدات من تلقاء نفسها ، وذلك بسبب كيفية زيادة عدد الطرق التي يمكن للمهاجم أن يسخر بها متصفح المستخدم لإلحاق الضرر من نوع ما.

"لسنوات ركز الأمن "على نقاط الضعف - فائض المخزن المؤقت ، هجمات حقن SQL. نقوم بتصحيحها ، نقوم بإصلاحها ، نراقبها" ، قال جونسون. ولكن في حالة HTML5 ، غالبًا ما تكون السمات نفسها "التي يمكن استخدامها للهجوم علينا".

على سبيل المثال ، يشير جونسون إلى بريد جوجل (Google) ، المستخدم في وقت مبكر من قدرات التخزين المحلية الخاصة بـ HTML5. قبل HTML5 ، ربما اضطر مهاجم إلى سرقة ملفات تعريف الارتباط من جهاز ما وفك تشفيرها للحصول على كلمة المرور لخدمة بريد إلكتروني عبر الإنترنت. الآن ، يحتاج المهاجم فقط إلى الدخول إلى متصفح المستخدم ، حيث يحكي Gmail نسخة من علبة الوارد.

"هذه المجموعات المخيفة مخيفة ،" قال. "إذا تمكنت من العثور على خطأ في تطبيق الويب الخاص بك وحقن شفرة HTML5 ، فيمكنني تعديل موقعك وإخفائه لأشياء لا أريدك أن تراها."

باستخدام سعة التخزين المحلية ، يمكن للمهاجم قراءة البيانات من متصفحك أو إدراج بيانات أخرى هناك دون علمك. مع تحديد الموقع الجغرافي ، يمكن للمهاجم تحديد موقعك دون علمك. باستخدام الإصدار الجديد من Cascading Style Sheets (CSS) ، يمكن للمهاجم التحكم في عناصر صفحة CSS المحسنة التي يمكنك رؤيتها. يوفر WebSocket HTML5 مكدس اتصالات شبكة الاتصال إلى المستعرض ، والتي يمكن إساءة استخدامها للاتصالات الخلفية خلسة.

لا يعني هذا أن صناع المتصفح غير واعين لهذه المشكلة. وحتى في الوقت الذي يعملون فيه لإضافة دعم للمعايير الجديدة ، فإنهم يبحثون عن طرق لمنع إساءة استخدامها. في ندوة Usenix ، أشار Stamm إلى بعض التقنيات التي يستكشفها فريق Firefox للتخفيف من الضرر الذي يمكن القيام به باستخدام هذه التقنيات الجديدة.

على سبيل المثال ، يعملون على منصة إضافية بديلة ، تسمى JetPack ، سيحافظ على سيطرة أكثر صرامة على الإجراءات التي يمكن أن تنفذها أداة إضافية. "إذا كان لدينا سيطرة كاملة على [واجهة برمجة التطبيقات] ، يمكننا أن نقول" هذه الوظيفة الإضافية تطلب الوصول إلى Paypal.com ، هل ستسمح بذلك؟ "قال ستام.

JetPack قد يستخدم أيضًا نموذج أمان تصريحي ، حيث يجب على البرنامج المساعد أن يعلن للمتصفح كل إجراء ينوي القيام به. ثم يقوم المستعرض بمراقبة المكوِّن الإضافي لضمان بقاءه في حدود هذه المعلمات.

مع ذلك ، ما زال صانعي المتصفحات قادرين على القيام بما يكفي لتأمين HTML5 ، كما يؤكد النقاد. وقال جونسون: "من الجدير بنا أن نعرض هذه المتصفحات الجديدة على المتصفح الجديد". "هذه واحدة من المرات القليلة التي قد تسمع فيها" كما تعلم ، ربما كان [Internet Explorer] 6 أفضل. "

يغطى Joab Jackson البرامج الخاصة بالشركة والتكنولوجيا العامة الأخبار العاجلة لـ

The IDG News Service

. اتبع Joab على تويتر علىJoab_Jackson. عنوان البريد الإلكتروني لـ Joab هو [email protected]