【51CTO外電頭條】歐盟計(jì)算機(jī)安全機(jī)構(gòu)最近發(fā)出警告稱，作為HTML5重要組成部分的某些開發(fā)層標(biāo)準(zhǔn)正經(jīng)歷變更，而此類變更很可能導(dǎo)致大量嚴(yán)重安全問題的出現(xiàn)。

歐洲網(wǎng)絡(luò)及信息安全局(簡稱ENISA)于本周一公布了一份長達(dá)61頁的文件，對HTML5以及網(wǎng)頁編碼母語的最新規(guī)范進(jìn)行了詳盡的分析。

HTML5項(xiàng)目由萬維網(wǎng)聯(lián)盟(簡稱W3C)策劃并發(fā)起，該機(jī)構(gòu)計(jì)劃將截至本周二之前所有來自用戶的建議及意見都詳加考量，并酌情納入HTML5的最新變更草案。最終，ENISA在最終期限到來的前一天完成了全部意見的匯總工作。

“我認(rèn)為這次的情況相當(dāng)特殊，因?yàn)檫@可以說是大家第一次從安全的角度廣泛地采納意見，并將其引用至規(guī)格制定領(lǐng)域，”Giles Hogben說道。他是ENISA機(jī)構(gòu)安全服務(wù)部門的方案經(jīng)理。

HTML5的規(guī)范制定相當(dāng)關(guān)鍵，因?yàn)樗鼘⒊蔀閼?yīng)用程序設(shè)計(jì)人員及網(wǎng)頁開發(fā)人員的使用指南，在未來數(shù)年中扮演舉足輕重的角色?；仡欉^去，HTML4使用規(guī)范自1999年以來就一直被頻繁使用。

同理，一旦網(wǎng)頁瀏覽器所使用的此類規(guī)范達(dá)不到各方面既定要求，那么每個消費(fèi)者——無論是個人用戶還是企業(yè)用戶——都將面臨巨大的安全風(fēng)險。

“如今每個人都會隨時隨地用到瀏覽器，”Hogben說道?！耙?guī)范的重要性由此可見一斑?！?/p>

ENISA對HTML5的總計(jì)十三項(xiàng)規(guī)范進(jìn)行了審核，從中查出了五十一項(xiàng)安全問題。有些問題可以通過對固有規(guī)范進(jìn)行調(diào)整加以解決，而其它一些則使得某些功能的使用存在風(fēng)險，需要用戶對此產(chǎn)生警覺，Hogben說道。其中最受ENISA機(jī)構(gòu)重視的高危功能之一名為“形式篡改”。

HTML5規(guī)范存在于基于網(wǎng)頁形式的“提交”按鈕被放置在該網(wǎng)頁中的任何位置上。也就是說，攻擊者可以通過將其它HTMl注入到該頁面中(例如設(shè)置另一個形式不同的‘提交’按鈕)，并進(jìn)而導(dǎo)致用戶信息被發(fā)送到攻擊者預(yù)設(shè)的站點(diǎn)而非合法站點(diǎn)處。

這類新功能“已經(jīng)使開發(fā)人員們廣泛受益，”Hogben說?！拔覀儾⒉淮蛩憬ㄗhW3C機(jī)構(gòu)將此功能取消掉，實(shí)際上只要用戶在進(jìn)行涉及此類應(yīng)用的工作時注意到存在的潛在風(fēng)險即可。”

ENISA同樣也為瀏覽器的運(yùn)行機(jī)制征集了大量意見。舉例來說，如果某位用戶正在進(jìn)行網(wǎng)上銀行交易，那么當(dāng)他需要在不同頁面標(biāo)簽之間來回切換時，他至少應(yīng)該使用多種不同的瀏覽器或者至少用到沙盒會話。具備沙盒技術(shù)的瀏覽器會話能夠避免其它標(biāo)簽——例如包含攻擊頁面的那類標(biāo)簽——利用疏漏對整個瀏覽器應(yīng)用程序及其權(quán)限分配情況進(jìn)行篡改。

ENISA計(jì)劃將全部意見和建議分類發(fā)送至W3C中的各對應(yīng)工作團(tuán)隊(duì)中去，這些信息將幫助大家進(jìn)一步完善將于2012年1月推出的修訂版HTML5新規(guī)范。

原文鏈接：http://www.computerworld.com/s/article/9218776/European_security_agency_issues_HTML5_warning

【編輯推薦】

1. 當(dāng)Web設(shè)計(jì)師遭遇HTML 5
2. 49個超炫的HTML 5示例
3. 我們離HTML 5還有多遠(yuǎn)？
4. HTML5 VS Flash之爭 即見分曉?
5. HTML 5 下一代Web開發(fā)標(biāo)準(zhǔn)詳解