Kaip HTML5 keičia interneto saugą?

„Google“ skelbimas kad jie buvo atlikti su blykste, buvo paskutinis nagas „Flash“ karste.


Dar prieš tai įžymybių technokratai mėgsta Styvas Džobsas atvirai pasisakė prieš „Flash“.

Nutraukus blykstę ir išaugus HTML5, buvo įvesta nauja era, kuri pasižymi geriau atrodančiomis ir geriau veikiančiomis svetainėmis, kurios suderinamos tiek su mobiliaisiais, tiek su asmeniniais kompiuteriais..

Duomenų perdavimas ir gavimas taip pat tapo daug paprastesnis nei anksčiau.

Tačiau joje pateikiami unikalūs iššūkiai, kuriuos reikia įveikti.

Privalumas yra tas, kad html5 perkelia kelių naršyklių palaikymą ir funkcionalumą į visiškai naują lygį.

Kai kurios naršyklės nepalaiko atskirų svetainės elementų, ir liūdina tai, kad reikia pakeisti svetainės elementus, kad neatsiliktumėte nuo pasirodymo..

HTML5 atsisako šio reikalavimo, nes palaikomos visos šiuolaikinės naršyklės.

Kryžminės kilmės išteklių pasidalinimas

Kryžminės kilmės šaltinių bendrinimas (CORS) yra viena iš įtakingiausių html5 funkcijų ir taip pat ta, kuri suteikia daugiausiai galimybių padaryti klaidas ir įsilaužėlių išpuolius..

KORAI apibrėžia antraštes, kurios padeda svetainėms apibrėžti kilmę ir palengvina kontekstinę sąveiką.

Naudojant html5, CORS nutildo pagrindinį naršyklių saugos mechanizmą, vadinamą Tos pačios kilmės taisyklė.

Pagal tą pačią kilmės politiką naršyklė gali leisti tinklalapiui pasiekti duomenis iš antrojo tinklalapio tik tuo atveju, jei abu tinklalapiai yra tos pačios kilmės.

Kas yra kilmė?

Kilmė yra URI schemos, pagrindinio kompiuterio vardo ir prievado numerio derinys. Ši politika neleidžia kenksmingiems scenarijams vykdyti ir pasiekti duomenų iš tinklalapių.

CORS sušvelnina šią politiką suteikdama skirtingoms svetainėms prieigą prie duomenų, kad būtų galima konteksto sąveika.

Dėl to įsilaužėlis gali patekti į neskelbtinų duomenų rankas.

Pavyzdžiui,

Jei esate prisijungę prie „Facebook“ ir liekate prisijungę ir tada lankotės kitoje svetainėje, tada gali būti, kad užpuolikai gali pavogti informaciją ir padaryti bet ką, ko jie nori jūsų „Facebook“ paskyroje, pasinaudodami sušvelninta kryžminės kilmės politika..

Kalbant šiek tiek nuožmiau, jei vartotojas yra prisijungęs prie savo banko sąskaitos ir pamiršta atsijungti, įsilaužėlis gali gauti prieigą prie vartotojo įgaliojimų, jo operacijų ar net sukurti naujas operacijas..

Naršyklės, saugodamos išsamią informaciją apie vartotoją, leidžia sesijos slapukus atidaryti.

Piratai taip pat gali kištis į antraštes, kad suaktyvintų neleistinus peradresavimus.

Neteisėti peradresavimai gali įvykti, kai naršyklės priima nepatikimą įvestį. Tai, savo ruožtu, peradresuoja prašymą. Nepasitikintį URL galima modifikuoti, kad būtų galima įvesti duomenis į kenksmingą svetainę ir tokiu būdu paleisti sukčiavimo sukčiavimą pateikiant URL, kurie atrodo identiški faktinei svetainei..

Neteisėti peradresavimo ir persiuntimo išpuoliai taip pat gali būti naudojami siekiant netinkamai sukurti URL, kurie praeitų programos prieigos kontrolės patikrinimą, o paskui užpuolikui perduotų privilegijuotas funkcijas, kurių jie paprastai negalėtų pasiekti.

Štai kuo kūrėjai turėtų pasirūpinti, kad šie dalykai nepasikartotų.

  • Kūrėjai turėtų užtikrinti, kad URL būtų perduoti atidaryti. Jei tai yra keli domenai, tai gali būti pažeidžiama kodo injekcijų.
  • Be to, atkreipkite dėmesį, jei URL yra santykiniai arba jei jie nurodo protokolą. Santykiniame URL nenurodomas protokolas, t. Y. Mes nežinome, ar jis prasideda HTTP ar https. Naršyklė daro prielaidą, kad abu yra tiesa.
  • Negalima pasikliauti prieigos kontrolės antraštėmis „Kilmė“, nes jas galima lengvai apgauti.

Kaip sužinoti, ar CORS yra įgalintas tam tikrame domene?

Na, galite naudoti naršyklės kūrėjo įrankius, kad galėtumėte ištirti antraštę.

Kelių domenų pranešimai

Anksčiau naršyklėse buvo uždrausta naudoti kelių domenų pranešimus, kad būtų išvengta scenarijų išpuolių keliose svetainėse.

Tai taip pat užkirto kelią teisėtai komunikacijai tarp svetainių, kuri dabar sudarė didžiąją dalį tarpdomeninių pranešimų.

Žiniatinklio pranešimai leidžia skirtingoms API lengvai sąveikauti.

Norėdami išvengti kryžminio scenarijaus atakų, tai turėtų padaryti kūrėjai.

Jie turėtų nurodyti numatomą pranešimo kilmę

  • Kilmės atributai visada turėtų būti kryžminiu būdu patikrinti ir patikrinti duomenys.
  • Gaunamasis puslapis visada turėtų patikrinti siuntėjo kilmės atributą. Tai padeda patikrinti, ar gauti duomenys iš tikrųjų siunčiami iš numatytos vietos.
  • Gaunamasis puslapis taip pat turėtų atlikti įvesties patvirtinimą, kad būtų užtikrintas reikiamo formato duomenų pateikimas.
  • Keičiami pranešimai turėtų būti aiškinami kaip duomenys, o ne kodas.

Geresnis saugojimas

Kita „html5“ savybė yra tai, kad ji leidžia geriau saugoti. Užuot pasikliauti slapukais, kad galėtumėte sekti vartotojo duomenis, naršyklė įgalina duomenis saugoti.

HTML5 leidžia saugoti keliuose languose, turi geresnį saugumą ir išlaiko duomenis net ir uždarius naršyklę. Vietinė saugykla įmanoma be naršyklės papildinių.

Tai išsiaiškina skirtingus rūpesčius.

Kūrėjai turėtų pasirūpinti šiais dalykais, kad užpuolikai nepavogtų informacijos.

  • Jei svetainėje saugomi vartotojo slaptažodžiai ir kita asmeninė informacija, įsilaužėliai gali ją pasiekti. Tokius slaptažodžius, kurie nėra užšifruoti, galima lengvai pavogti naudojant internetinės saugyklos API. Taigi labai rekomenduojama, kad visi vertingi vartotojo duomenys būtų užšifruoti ir saugomi.
  • Be to, daugelis kenkėjiškų programų naudingų krovinių jau pradėjo nuskaityti naršyklės talpyklas ir saugojimo API, kad rastų informaciją apie vartotojus, pvz., Operacijų ir finansinę informaciją..

Baigiamosios mintys

HTML5 suteikia puikias galimybes interneto svetainių kūrėjams modifikuoti ir padaryti daiktus daug saugesnius.

Vis dėlto didžioji darbo dalis užtikrinant saugią aplinką tenka naršyklėms.

Jei norite sužinoti daugiau, peržiūrėkite „Sužinokite HTML5 per 1 valandą“Kursas.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map