網(wǎng)絡(luò)瀏覽器與HTML 5技術(shù)在大步發(fā)展的同時(shí)，也給互聯(lián)網(wǎng)應(yīng)用領(lǐng)域帶來了又一批安全漏洞。

隨著Adobe Flash Player等專用插件的逐步淘汰，HTML 5已經(jīng)自然而然地成為Web領(lǐng)域富多媒體服務(wù)交付的標(biāo)準(zhǔn)性繼任者。不過說起Flash最大的弊端，也就是孱弱的安全水平，HTML 5似乎也拿不出什么有說服力的改進(jìn)效果。

[[144625]]

事實(shí)上，HTML 5當(dāng)中也存在著自己的一些安全隱患。應(yīng)用安全監(jiān)控企業(yè)Prevoty公司CEO Julien Bellanger指出，HTML 5的普及令安全工作變得更加復(fù)雜、而非更加簡單。多年以來，HTML 5的安全性一直無法令人滿意，而且沒能從根本上實(shí)現(xiàn)改進(jìn)，他表示。

根據(jù)Bellanger的說法，HTML 5可能帶來以下幾類安全風(fēng)險(xiǎn)：

•    Canvas圖像渲染漏洞有可能導(dǎo)致緩沖區(qū)溢出，從而使得攻擊者能夠?qū)⒋a注入至?xí)挳?dāng)中。

•    跨站點(diǎn)腳本使得入侵者能夠從瀏覽器的會(huì)話當(dāng)中竊取信息。

•    SQL注入，攻擊者可以利用惡意查詢從瀏覽器的數(shù)據(jù)庫內(nèi)提取信息。

•    跨站點(diǎn)請(qǐng)求偽造，攻擊者可以獲取到用戶驗(yàn)證令牌并借此在Web上對(duì)該用戶進(jìn)行冒名頂替。

HTML 5的廣泛使用也導(dǎo)致大量與計(jì)算機(jī)或者移動(dòng)設(shè)備相關(guān)的信息遭到泄露，例如存儲(chǔ)位置與設(shè)備所在位置等，網(wǎng)絡(luò)安全咨詢企業(yè)Denim Group公司CTO Dan Cornell指出。“由于HTML 5應(yīng)用程序能夠訪問這些信息，因此會(huì)帶來信息濫用的風(fēng)險(xiǎn)，”他表示。

瀏覽器“在本質(zhì)上并不安全”

“我們面臨的最大問題在于，瀏覽器在本質(zhì)上并不安全，”IT安全咨詢企業(yè)Secure Ideas公司CEO Kevin Johnson指出。舉例來說，HTML 5并不提供安全沙箱保護(hù)機(jī)制——就連Flash都能在Chrome瀏覽器上實(shí)現(xiàn)這一點(diǎn)，他解釋稱。

“另一大問題則是，我們將大量復(fù)雜性元素添加到了HTML 5當(dāng)中，但卻沒有為用戶提供同等水平的控制能力，”Johnson表示。至少在Flash當(dāng)中，用戶可以選擇將其關(guān)閉。但HTML卻沒辦法被關(guān)閉。

HTML 5仍然承載著一系列安全承諾

盡管前景不容樂觀，但HTML 5仍然成為提升安全水平的希望所在——如果瀏覽器開發(fā)商能夠妥善處理相關(guān)工作的話，Denim Group公司的Cornell指出。“瀏覽器開發(fā)商們需要審視自己的HTML 5支持規(guī)劃，并在初始設(shè)計(jì)工作當(dāng)中將安全性考量納入進(jìn)來，”他表示。“HTML 5所帶來的大部分新功能允許應(yīng)用程序訪問到各類敏感信息，因此采取謹(jǐn)慎的態(tài)度非常必要。”Johnson則補(bǔ)充稱，瀏覽器開發(fā)商應(yīng)當(dāng)為用戶提供關(guān)閉功能，從而保證其在不希望或者不信任對(duì)應(yīng)內(nèi)容時(shí)擁有必要的解決手段。

同時(shí)使用多種瀏覽器也能在一定程度上提升安全水平，因?yàn)榇嬖谟谀撤N瀏覽器內(nèi)的漏洞也許無法影響到其它瀏覽器，Cornell指出。這就降低了安全漏洞被廣泛利用的風(fēng)險(xiǎn)，從這個(gè)角度看HTML 5要比Flash做得更好。

瀏覽器開發(fā)商還應(yīng)致力于改進(jìn)整體安全水平，Mozilla公司火狐瀏覽器安全負(fù)責(zé)人Richard Barnes表示。谷歌、微軟、Mozilla以及蘋果等企業(yè)在瀏覽器領(lǐng)域的競爭意味著一旦出現(xiàn)安全問題，其聲譽(yù)將會(huì)受到嚴(yán)重影響，因此所有主流瀏覽器開發(fā)商都需要建立起強(qiáng)大的安全技術(shù)團(tuán)隊(duì)，他強(qiáng)調(diào)道。

整個(gè)瀏覽器業(yè)界也一直在不斷努力改善安全機(jī)制，Barnes表示。舉例來說，目前一套通用型加密方案正在開發(fā)當(dāng)中，而各瀏覽器開發(fā)商也在著力幫助用戶培養(yǎng)安全意識(shí)并控制自己暴露在網(wǎng)絡(luò)環(huán)境中的信息，他指出。

另外，標(biāo)準(zhǔn)制定機(jī)構(gòu)的參與同樣非常重要。作為HTML 5開發(fā)方，萬維網(wǎng)聯(lián)盟擁有自己的內(nèi)容安全策略規(guī)范性建議，而該聯(lián)盟域名負(fù)責(zé)人Wendy Seltzer也表示將為Web作者提供一套管理策略語言，幫助他們限制站點(diǎn)上的活動(dòng)內(nèi)容并應(yīng)對(duì)腳本注入狀況。此外，該安全內(nèi)容規(guī)范還將著力確保各類強(qiáng)大的Web功能只在安全且經(jīng)過認(rèn)證的背景下起效。

不過我們最終的目標(biāo)仍然是保障應(yīng)用程序的安全，無論其運(yùn)行在瀏覽器當(dāng)中還是操作系統(tǒng)之上。Prevoty公司的Bellanger建議稱，開發(fā)人員應(yīng)該參考微軟的安全開發(fā)生命周期指南來強(qiáng)化自己的應(yīng)用程序成果。“開發(fā)人員仍然有責(zé)任構(gòu)建起盡可能安全的應(yīng)用程序產(chǎn)品，”他強(qiáng)調(diào)稱。

原文標(biāo)題：Sick of Flash security holes? HTML5 has its own