Kako HTML5 mijenja web-sigurnost?

Googleov Obavijest da su gotovi sa bljeskom, bio je posljednji čavao u Flashovom lijesu.


Još prije toga slavni tehnokrati vole Steve Jobs otvoreno je govorio protiv Flasha.

Slomom bljeskalice i porastom HTML5 uvedeno je novo doba koje ima bolje izgleda i bolje funkcionira web mjesta koja su kompatibilna s mobitelima i osobnim računalima..

Prijenos podataka i njihovo primanje postalo je i mnogo jednostavnije nego prije.

Međutim, to predstavlja svoje jedinstvene izazove koje je potrebno pobijediti.

Prednost ovoga je što html5 podiže podršku i funkcionalnost pretraživača na potpuno novu razinu.

Određeni preglednici ne podržavaju pojedinačne elemente web-lokacije i frustrirajuće je mijenjati elemente web lokacije kako bi bili u toku s izgledima.

HTML5 odbacuje taj zahtjev jer podržavaju svi moderni preglednici.

Dijeljenje resursa s više izvora

Dijeljenje resursa unakrsnog podrijetla (CORS) jedno je od najutjecajnijih značajki html5-a i ono koje pruža najviše mogućnosti za pogreške i hakerske napade.

CORS definira zaglavlja kako bi web lokacijama omogućili definiranje podrijetla i olakšali kontekstualne interakcije.

Pomoću html5 CORS isključuje osnovni sigurnosni mehanizam u preglednicima Isto pravilo o podrijetlu.

Prema istim pravilima o podrijetlu, preglednik može web stranici omogućiti pristup podacima s druge web stranice samo ako obje web stranice imaju isto podrijetlo.

Što je porijeklo?

Izvor je kombinacija URI sheme, imena domaćina i broja porta. Ovo pravilo sprječava izvršavanje zlonamjernih skripti i pristup podacima s web stranica.

CORS ublažava ovo pravilo omogućujući različitim web lokacijama pristup podacima kako bi se omogućila kontekstualna interakcija.

To može dovesti hakera da preuzme osjetljive podatke.

Na primjer,

Ako ste prijavljeni na Facebook i ostali prijavljeni, a zatim posjetite drugu web lokaciju, moguće je da napadači mogu ukrasti podatke i učiniti sve što žele na vašem Facebook računu, koristeći se opuštenim pravilima unakrsnog podrijetla.

Malo blaže, ako se korisnik prijavi na svoj bankovni račun i zaboravi odjaviti se, haker može dobiti pristup korisničkim vjerodajnicama, njegovim transakcijama ili čak stvoriti nove transakcije..

Preglednici pohranjivanjem korisničkih detalja ostavljaju kolačiće sesije otvorenima za iskorištavanje.

Hakeri se također mogu miješati s zaglavljima kako bi aktivirali nevažeće preusmjeravanja.

Nevalidna preusmjeravanja mogu se dogoditi kada preglednici prihvate nepouzdan unos. To, sa svoje strane, prosljeđuje zahtjev za preusmjeravanje. Nepouzdani URL može se izmijeniti radi dodavanja unosa zloćudnoj web lokaciji i na taj način pokrenuti krađu identiteta pružanjem URL-ova koji su identični stvarnoj web lokaciji.

Nevalidni napadi za preusmjeravanje i prosljeđivanje mogu se koristiti i za zlonamjerni izradu URL-a koji će proći provjeru kontrole pristupa aplikacije, a zatim napadača proslijediti povlaštenim funkcijama kojima obično ne bi mogli pristupiti.

Evo što bi programeri trebali voditi računa da se takve stvari ne bi događale.

  • Programeri trebaju osigurati da se URL-ovi proslijede na otvaranje. Ako su to unakrsne domene, tada mogu biti ranjive na injekcije koda.
  • Također obratite pažnju ako su URL-ovi relativni ili ako navode protokol. Relativni URL ne određuje protokol, tj. Ne bismo znali počinje li s HTTP ili https. Preglednik pretpostavlja da su oboje istiniti.
  • Ne oslanjajte se na zaglavlje Origin za provjere kontrole pristupa jer se mogu lako prevariti.

Kako znati je li CORS omogućen na određenoj domeni?

Pa, možete upotrijebiti alate za razvojne programere u pregledniku da biste istražili zaglavlje.

Mrežne poruke

Razmjena poruka s više domena prethodno je onemogućena u preglednicima kako bi se spriječili napadi skriptiranja putem web lokacije.

To je također spriječilo da se dogodi zakonita komunikacija između web stranica što je činilo većinu razmjena poruka s više domena sada.

Internetske poruke omogućuju jednostavnu interakciju različitih API-ja.

Da biste spriječili napade križnog skripti, evo što programeri trebaju učiniti.

Oni trebaju navesti očekivano podrijetlo poruke

  • Atributi podrijetla trebaju uvijek biti provjereni i provjeriti podatke.
  • Stranica primatelja uvijek treba provjeriti podrijetlo atributa pošiljatelja. Na taj se način provjerava jesu li primljeni podaci doista poslani s očekivane lokacije.
  • Stranica za prijem također bi trebala izvršiti provjeru unosa kako bi se osiguralo da su podaci u traženom formatu.
  • Izmijenjene poruke treba tumačiti kao podatke a ne kod.

Bolje skladištenje

Još jedna značajka html5 je to što omogućava bolju pohranu. Umjesto da se oslanjaju na kolačiće radi praćenja korisničkih podataka, pregledniku je omogućeno pohranjivanje podataka.

HTML5 omogućuje pohranu u više prozora, ima bolju sigurnost i zadržava podatke čak i nakon zatvaranja preglednika. Lokalna pohrana moguća je bez dodataka preglednika.

To govori o različitim problemima.

Programeri bi trebali voditi računa o sljedećim stvarima kako bi spriječili napadače da kradu informacije.

  • Ako web mjesto pohranjuje korisničke lozinke i druge osobne podatke, onda im hakeri mogu pristupiti. Takve se lozinke, ako nisu šifrirane, mogu lako ukrasti putem API-ja za web pohranu. Stoga se pretpostavlja da su svi vrijedni korisnički podaci šifrirani i pohranjeni.
  • Uz to, mnogi korisni tereti zlonamjernog softvera već su počeli skenirati predmemorije preglednika i API-ja za pohranu kako bi pronašli informacije o korisnicima kao što su transakcijski i financijski podaci.

Zaključne misli

HTML5 pruža izvrsne mogućnosti web programerima da izmijene i učine stvari puno sigurnijima.

Međutim, najveći dio posla u pružanju sigurnog okruženja pada na preglednike.

Ako ste zainteresirani saznati više, pogledajte “Naučite HTML5 za 1 sat” tečaj.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map