HTML5安全性:HTML5能否替代Flash 增強Web安全性
盡管現在所有連接互聯網的計算機都安裝了Flash(Adobe問題不斷的Web多媒體格式),但是似乎它很快就會被新標準HTML5所替代。按照Adobe自己話說,“HTML5現在得到主流移動設備的普遍支持,并成為創建和部署面向移動平臺瀏覽器內容的最佳解決方案。”
對于企業攻擊者而言,這無疑是一個壞消息。近幾年來,Flash已經成為惡意程序黑客的主要攻擊目標。根據安全研究公司WhiteHat Security Inc.的數據,與Flash播放器相關的漏洞占他們發現的Web應用程序漏洞的14%左右。
那么,Flash的消失是否是一個安全利好消息?HTML5是否會替代Flash?如果會,那么HTML5安全性能否與Flash對抗?安全人員應該如何做好部署HTML5 Web內容的準備?下面,我們將會針對這些問題展開討論。
HTML5得到了許多互聯網巨頭的支持,包括Facebook、谷歌和PayPal。事實上,它正在成為將來的互聯網視頻標準,并且會替代所有非標準格式,如Flash和微軟的Silverlight。Flash是一種二進制的多媒體內容格式,采用面向對象開發語言ActionScript,需要安裝 Adobe插件。相反,HTML5是一種開放源碼的標記語言,不需要任何插件就能夠運行應用程序。刪除了視頻播放私有插件,也就關上了常見的攻擊載體,因為HTML5更新是通過瀏覽器更新實現的,所以它們的更新速度遠遠比插件快。然而,HTML5有更多的計算機資源訪問權限,包括本地數據存儲,從而也成為新的潛在攻擊目標。
對于HTML5,我主要擔心的是,開發人員在未完全理解它的新特性及安全機制之前,就匆匆在網站上添加HTML5特性。例如,跨域資源共享(CORS)使Web服務器允許其他域名的網頁訪問自己的資源。CORS放寬了同源訪問規則(Same Origin Rule),這是Web瀏覽器內置的基礎安全措施之一。除非開發人員理解CORS的工作原理,否則他們很容易做出錯誤的假設,使攻擊者能夠訪問所共享的內容。HTML5跨文檔消息也有相同的問題。如果使用正確,它會很安全,但是如何開發者不確保消息來自自己的網站,那么其他網站的惡意代碼可能會發送欺騙性流氓消息。基本的安全原則是,來自瀏覽器的數據都應該視為不可信數據,因此必須進行驗證。在Web應用程序開發過程中,一定要檢查當前的驗證過程和過濾器,因為HTML5新元素和屬性可能會產生一些意外結果。應用程序內置的基于白名單的過濾器確實更具靈活性。
如果開發者使用技術的方法偏離該技術原來的目標,那么任何技術都可能出現安全漏洞。例如,HTML5 Web存儲標準為開發者提供了一種更靈活方法,可以替代Cookie在瀏覽器上存儲數據。當然,存儲用戶敏感數據存在一定的風險,可能會受到跨站腳本 (XSS)的攻擊,但是有一些網站已經使用這種技術來存儲腳本,以提高頁面加載速度。例如:為了節省時間和帶寬,前面的Web服務Apture使用一個 localStorage對象,緩存它的應用程序邏輯代碼,但是與這些腳本在同一個域的頁面可能存在XSS漏洞,可能會被利用,向緩存注入惡意代碼。利用 Apture服務,惡意代碼可能會將漏洞變成面向所有域的持久客戶端XSS攻擊。從第三方提取數據或腳本會創建一種隱含的信任關系。開發者必須認識到這種潛在風險,理解如何在內容放到網站之前對內容進行審查。
將一種技術擴展到它原先的適用范圍之外,可能會產生其他的錯誤。HTML5是一種異步技術,但是開發者可使用JavaScript將它變成同步技術。如果一個事務在轉到下一個狀態之前必須獲取一個響應,那么必須仔細檢查業務邏輯控制機制,保證事務處理的順序是否正確,如數據庫事務。
安全團隊需要使用WebSocket API,它可以替代瀏覽器,向Web服務器請求最新的數據。服務器會在出現新數據時才發送數據,從而減少服務器與瀏覽器的流量。但是,WebSocket 可以繞過許多重要的網絡安全控制機制,包括傳統的數據包頭,而防火墻正是通過檢查數據包頭來阻擋可疑流量的。基于信譽的防御也會受到影響。這樣就增加了防火墻進行深度內容檢測的負載,因為只有深度內容檢測才能夠處理WebSocket流量,檢查流量的內容、結構和用途。所以再說一次,白名單過濾的效率確實會更高一些。
HTML5標準機構及瀏覽器廠商已經完全考慮了如何根除某些特定的安全性和保密問題。然而,HTML5仍然未成為正式的標準,對于那些未掌握編寫安全代碼的開發者而言,它肯定還不是一種絕對安全的多媒體Web開發技術。即使是對于能夠編寫安全代碼的開發者而言,他們仍然需要面對網絡欺詐、惡意軟件和拒絕服務攻擊。使用HTML5代碼替換網站原來的應用程序是一個很大的改動,總會遇到一些問題。在開始實施之前一定要全面測試恢復過程,而且同時在開始時就要運行一些重要功能。為了更一步防御各種攻擊,我推薦將網站升級到HTTPS。
任何HTML5開發都必須進行滲透測試,而且要使用HTML5創建復雜的前臺,保證它們的運行結果都符合要求。攻擊者肯定會測試瀏覽器廠商實現的新功能和新數據格式,如及其屬性,從中發現可能導致緩沖溢出和其他攻擊的編碼錯誤。這意味著安全團隊和開發者必須跟進供應商更新,保證盡快更新補丁和修復安全漏洞。
HTML5意味著開發者現在可以使用開放標準在網站上實現多媒體特性。這比以前使用第三方插件技術顯然先進了很多。只要開發者投入足夠時間,學習如何安全地使用各種新特性,那么安全行業就有望實現更豐富且更安全的互聯網。然而,歷史表明,這是不可能的,所以我們總是需要實施強有力的邊界防御和滲透測試。
