歐盟計算機安全局發(fā)出警告：由于HTML5的部分代碼正在重寫，其并不完善的標(biāo)準(zhǔn)可能會忽略一些重要的安全問題。

本周一，歐洲網(wǎng)絡(luò)與信息安全局(ENISA)發(fā)布了一份分析HTML5的長達(dá)61頁的文檔，這是對網(wǎng)絡(luò)編碼基本語言HTML5的最新一份規(guī)范單。

HTML5由世界萬維網(wǎng)聯(lián)盟(W3C)所編輯。截止到周二，W3C接受對其最新HTML5草案的評論，而ENISA剛好提前一天完成了其建議書。

ENISA安全服務(wù)項目經(jīng)理Giles Hogben說：“特別的事情在于這是第一次有人從安全角度來總體看待這些成套的規(guī)范”。

HTML5規(guī)范極為重要，因為接下來幾年，應(yīng)用程序設(shè)計師和網(wǎng)絡(luò)開發(fā)商要使用HTML5作為規(guī)范標(biāo)準(zhǔn)。要知道上一代的HTML4規(guī)范自從1999年以后就一直在使用。

如果針對瀏覽器的該規(guī)范還不能達(dá)到標(biāo)準(zhǔn)，那么普通消費者與企業(yè)用戶將會被置于風(fēng)險之中。現(xiàn)在每個人都在使用瀏覽器做各類事情，因而規(guī)范相當(dāng)重要。

ENISA查看了HTML5內(nèi)的13個規(guī)范，發(fā)現(xiàn)了51個安全問題。一些問題能通過微小的調(diào)整解決，然而其他的問題更多是基于用戶需要被提醒注意的功能之上。在建議書中，其中一個讓ENISA擔(dān)憂的功能是所謂的“表單篡改”。

HTML5規(guī)范允許通過點擊“提交”按鈕將基于網(wǎng)絡(luò)的表單安放到網(wǎng)頁上的任意位置，這意味著攻擊者可能會感染網(wǎng)頁上其他的HTML。比如點擊一個不同的表單按鍵就會導(dǎo)致表單中的信息被發(fā)送給攻擊者，而不是合法的網(wǎng)站。

Hogben接著說道：“新的功能設(shè)計是為了便于開發(fā)者。我們并不是在暗示W(wǎng)3C應(yīng)該取消這項功能，只是說用戶應(yīng)該小心由此帶來的風(fēng)險。”

ENISA也對如何使用瀏覽器提出了建議，比如用戶做在線銀行交易時，應(yīng)該使用不同的瀏覽器，或者在使用多選項卡瀏覽器時至少有“沙盒式的會話”。沙盒式的瀏覽器會話可以避免其他的選項卡(可能包含攻擊頁面)利用寬松的設(shè)置或權(quán)限設(shè)置來攻擊整個瀏覽器應(yīng)用程序。

ENISA計劃將其建議書寄送給個人WEC工作組，這些工作組將會在2012年1月以前修訂好規(guī)范。

【編輯推薦】

1. 借鑒與參考美國的互聯(lián)網(wǎng)安全管理經(jīng)驗
2. Android安全評測：360手機衛(wèi)士全球第二、國內(nèi)第一
3. 辦公自動化系統(tǒng)中的網(wǎng)絡(luò)安全問題研究
4. 承載的不僅是安全 SOC迎接新網(wǎng)絡(luò)時代
5. EMC公司信息安全事業(yè)部RSA發(fā)表了最新的SBIC報告