HTML5被吹捧為AdobeFlash的替代品，它能夠更有效地顯示音頻、圖形和視頻，但是研究這項(xiàng)技術(shù)的安全專家稱HTML5將給企業(yè)安全帶來(lái)新的挑戰(zhàn)。

[[52672]]

英國(guó)安全供應(yīng)商Sophos公司高級(jí)技術(shù)專家JamesLyne表示，潛在的HTML5安全問(wèn)題可能會(huì)影響該技術(shù)的迅速普及。如果HTML5功能沒(méi)有進(jìn)行正確編程，安全漏洞可能使攻擊者獲取對(duì)敏感數(shù)據(jù)的訪問(wèn)權(quán)限。HTML5技術(shù)功能豐富，為開發(fā)人員提供了本地存儲(chǔ)、內(nèi)置圖形渲染和挖掘移動(dòng)設(shè)備的地理定位數(shù)據(jù)或者在瀏覽器沒(méi)有連接到互聯(lián)網(wǎng)時(shí)顯示消息的功能。

“HTML5的所有東西都是本地和內(nèi)置的，而不需要各種插件，”Lyne表示，“如果我們使用良好的安全模式、良好的權(quán)限模式和良好的測(cè)試來(lái)標(biāo)準(zhǔn)化HTML5技術(shù)，那么無(wú)論從用戶體驗(yàn)還是安全性來(lái)看，HTML5絕對(duì)是最佳選擇。”

HTML5標(biāo)準(zhǔn)仍然在起草中，不過(guò)已經(jīng)被大部分瀏覽器制造商采用。Adobe系統(tǒng)公司在11月份宣布，它將不再支持智能手機(jī)和平板電腦上的Flash功能，而是支持HTML5。萬(wàn)維網(wǎng)聯(lián)盟(WorldWideWebConsortium，W3C)也一直在致力于制定標(biāo)準(zhǔn)來(lái)改善HTML的功能。

專家稱萬(wàn)維網(wǎng)聯(lián)盟仍然需要努力解決HTML5的安全和隱私問(wèn)題。標(biāo)準(zhǔn)并沒(méi)有解決cookie追蹤問(wèn)題，這是經(jīng)常被批評(píng)的問(wèn)題，該功能主要用于營(yíng)銷人員追蹤個(gè)人的瀏覽習(xí)慣。HTML5引入了很多追蹤和存儲(chǔ)web用戶信息的新方式。Lyne表示，清理敏感信息和讓用戶管理隱私數(shù)據(jù)并沒(méi)有得到規(guī)范。

此外，針對(duì)Flash應(yīng)用程序使用的常見攻擊技術(shù)—Clickjacking可以引誘用戶在訪問(wèn)網(wǎng)站或者使用web應(yīng)用程序時(shí)執(zhí)行惡意代碼或者點(diǎn)擊惡意鏈接。瀏覽器制造商已經(jīng)部署了很多保護(hù)措施來(lái)預(yù)防大多數(shù)clickjacking攻擊。

趨勢(shì)科技公司高級(jí)威脅研究人員RobertMcArdle指出，JavaScript形式的clickjacking防御對(duì)于HTML5并沒(méi)有用，HTML5還增加了一個(gè)沙箱功能。

“在很多情況下，這的確更加安全，但是無(wú)法利用目前對(duì)付clickjacking最強(qiáng)的抵御方法，”McArdle在趨勢(shì)科技的TrendLabs博客中寫道。

企業(yè)還需要才去額外的步驟來(lái)防止利用HTML5漏洞的攻擊，web內(nèi)容過(guò)濾、防病毒和其他端點(diǎn)安全技術(shù)將幫助抵御攻擊，Lyne表示。

“我希望我們能夠在各大瀏覽器間達(dá)成一致的安全模式，”Lyne表示，“如果我們讓它順其自然的發(fā)展，我相信在HTML5普及的初期將會(huì)有一段痛苦時(shí)期。”

此外，開放式Web應(yīng)用程序安全項(xiàng)目OWASP的成員正在開發(fā)開放式Web應(yīng)用程序安全項(xiàng)目OWASP的成員們正在為應(yīng)用程序開發(fā)人員開發(fā)一份HTML5最佳做法文檔以及網(wǎng)站。安全測(cè)試供應(yīng)商Veracode公司研究副總裁ChrisEng表示，開發(fā)人員可能會(huì)關(guān)閉那些他們不理解的HTML5功能，而這可能帶來(lái)安全問(wèn)題。

“開發(fā)人員可以做的最重要的事情就是記住基本的安全原則，例如，所有用戶輸入都應(yīng)視為不可信任的，”Eng表示，“他們應(yīng)該學(xué)習(xí)新的HTML5功能的實(shí)際作用。”

【編輯推薦】

1. HTML5增強(qiáng)網(wǎng)絡(luò)安全 同時(shí)帶來(lái)新安全漏洞
2. 歐盟計(jì)算機(jī)安全局警告HTML5安全隱患