歐盟計算機安全局發出警告：由于HTML5的部分代碼正在重寫，其并不完善的標準可能會忽略一些重要的安全問題。

本周一，歐洲網絡與信息安全局(ENISA)發布了一份分析HTML5的長達61頁的文檔，這是對網絡編碼基本語言HTML5的最新一份規范單。

HTML5由世界萬維網聯盟(W3C)所編輯。截止到周二，W3C接受對其最新HTML5草案的評論，而ENISA剛好提前一天完成了其建議書。

ENISA安全服務項目經理Giles Hogben說：“特別的事情在于這是第一次有人從安全角度來總體看待這些成套的規范”。

HTML5規范極為重要，因為接下來幾年，應用程序設計師和網絡開發商要使用HTML5作為規范標準。要知道上一代的HTML4規范自從1999年以后就一直在使用。

如果針對瀏覽器的該規范還不能達到標準，那么普通消費者與企業用戶將會被置于風險之中。現在每個人都在使用瀏覽器做各類事情，因而規范相當重要。

ENISA查看了HTML5內的13個規范，發現了51個安全問題。一些問題能通過微小的調整解決，然而其他的問題更多是基于用戶需要被提醒注意的功能之上。在建議書中，其中一個讓ENISA擔憂的功能是所謂的“表單篡改”。

HTML5規范允許通過點擊“提交”按鈕將基于網絡的表單安放到網頁上的任意位置，這意味著攻擊者可能會感染網頁上其他的HTML。比如點擊一個不同的表單按鍵就會導致表單中的信息被發送給攻擊者，而不是合法的網站。

Hogben接著說道：“新的功能設計是為了便于開發者。我們并不是在暗示W3C應該取消這項功能，只是說用戶應該小心由此帶來的風險。”

ENISA也對如何使用瀏覽器提出了建議，比如用戶做在線銀行交易時，應該使用不同的瀏覽器，或者在使用多選項卡瀏覽器時至少有“沙盒式的會話”。沙盒式的瀏覽器會話可以避免其他的選項卡(可能包含攻擊頁面)利用寬松的設置或權限設置來攻擊整個瀏覽器應用程序。

ENISA計劃將其建議書寄送給個人WEC工作組，這些工作組將會在2012年1月以前修訂好規范。

【編輯推薦】

1. 借鑒與參考美國的互聯網安全管理經驗
2. Android安全評測：360手機衛士全球第二、國內第一
3. 辦公自動化系統中的網絡安全問題研究
4. 承載的不僅是安全 SOC迎接新網絡時代
5. EMC公司信息安全事業部RSA發表了最新的SBIC報告