HTML5 เปลี่ยนความปลอดภัยของเว็บอย่างไร

ของ Google การประกาศ สิ่งที่พวกเขาทำด้วยแฟลชนั้นเป็นสิ่งสุดท้ายในโลงของ Flash.


แม้ก่อนหน้านั้นผู้มีชื่อเสียงชอบเทคโนโลยี สตีฟจ็อบส์ พูดกับ Flash อย่างเปิดเผย.

ด้วยยุคของแฟลชและ HTML5 ที่เพิ่มขึ้นยุคใหม่ได้ถูกนำเสนอในคุณลักษณะที่ดูดีขึ้นและเว็บไซต์ทำงานได้ดีขึ้นที่เข้ากันได้กับโทรศัพท์มือถือและพีซีเหมือนกัน.

การถ่ายโอนข้อมูลและการรับข้อมูลนั้นมีความตรงไปตรงมามากกว่าเดิม.

อย่างไรก็ตามมันนำเสนอความท้าทายที่เป็นเอกลักษณ์ที่ต้องได้รับรางวัล.

ข้อดีของการทำเช่นนี้คือ html5 ให้การสนับสนุนและการทำงานข้ามเบราว์เซอร์ในระดับใหม่ทั้งหมด.

เบราว์เซอร์บางตัวไม่สนับสนุนองค์ประกอบของแต่ละไซต์และมันน่าผิดหวังที่จะต้องเปลี่ยนองค์ประกอบของไซต์เพื่อให้ทันต่อการปรากฏตัว.

HTML5 ยกเลิกข้อกำหนดนั้นเนื่องจากเบราว์เซอร์รุ่นใหม่ทั้งหมดรองรับ.

การแบ่งปันทรัพยากรข้ามแหล่ง

การแบ่งปันทรัพยากรข้ามแหล่งกำเนิด (CORS) เป็นหนึ่งในคุณสมบัติที่ทรงอิทธิพลที่สุดของ html5 และเป็นหนึ่งที่เป็นลางที่เป็นไปได้มากที่สุดสำหรับข้อผิดพลาดและการโจมตีของแฮ็กเกอร์.

กำหนดส่วนหัวเพื่อช่วยให้ไซต์สามารถกำหนดจุดกำเนิดและอำนวยความสะดวกในการโต้ตอบตามบริบท.

ด้วย html5 CORS ปิดเสียงความปลอดภัยขั้นพื้นฐานของเบราว์เซอร์ที่เรียกว่า กฎแหล่งกำเนิดเดียวกัน.

ภายใต้นโยบายกำเนิดเดียวกันเบราว์เซอร์สามารถอนุญาตให้เว็บเพจเข้าถึงข้อมูลจากเว็บเพจที่สองได้ก็ต่อเมื่อเว็บเพจทั้งสองมีต้นกำเนิดเดียวกัน.

ต้นกำเนิดคืออะไร?

ที่มาคือการรวมกันของโครงการ URI ชื่อโฮสต์และหมายเลขพอร์ต นโยบายนี้ป้องกันสคริปต์ที่เป็นอันตรายจากการดำเนินการและการเข้าถึงข้อมูลจากหน้าเว็บ.

CORS ผ่อนคลายนโยบายนี้โดยอนุญาตให้ไซต์ต่างๆเข้าถึงข้อมูลเพื่อให้สามารถโต้ตอบกับบริบทได้.

สิ่งนี้สามารถนำไปสู่แฮ็กเกอร์เพื่อจัดการกับข้อมูลที่ละเอียดอ่อน.

ตัวอย่างเช่น,

หากคุณลงชื่อเข้าใช้ Facebook และยังคงอยู่ในระบบจากนั้นไปที่ไซต์อื่นอาจเป็นไปได้ว่าผู้โจมตีสามารถขโมยข้อมูลและทำทุกอย่างที่พวกเขาต้องการไปยังบัญชี Facebook ของคุณโดยใช้ประโยชน์จากนโยบายข้ามแหล่งกำเนิดที่ผ่อนคลาย.

ในบันทึกที่อุ่นกว่านี้เล็กน้อยหากผู้ใช้เข้าสู่บัญชีธนาคารของเขาและลืมที่จะออกจากระบบแฮกเกอร์สามารถเข้าถึงข้อมูลประจำตัวของผู้ใช้การทำธุรกรรมของเขาหรือแม้แต่สร้างธุรกรรมใหม่.

เบราว์เซอร์โดยการจัดเก็บรายละเอียดผู้ใช้เปิดคุกกี้เซสชันไว้เพื่อหาประโยชน์.

แฮกเกอร์ยังสามารถเข้าไปยุ่งกับส่วนหัวเพื่อทริกเกอร์การเปลี่ยนเส้นทางที่ไม่ผ่านการตรวจสอบ.

การเปลี่ยนเส้นทางที่ไม่ผ่านการตรวจสอบสามารถเกิดขึ้นได้เมื่อเบราว์เซอร์ยอมรับอินพุตที่ไม่น่าเชื่อถือ สิ่งนี้ในที่สุดก็ส่งต่อคำขอเปลี่ยนเส้นทาง URL ที่ไม่น่าเชื่อถือสามารถแก้ไขได้เพื่อเพิ่มการป้อนข้อมูลไปยังเว็บไซต์ที่เป็นอันตรายและจากนั้นเปิดตัวหลอกลวงฟิชชิ่งโดยการให้ URL ที่ดูเหมือนกับเว็บไซต์จริง.

นอกจากนี้ยังสามารถใช้การเปลี่ยนเส้นทางและการโจมตีไปข้างหน้าโดยไม่เจตนาเพื่อสร้าง URL ที่ประสงค์ร้ายผ่านการตรวจสอบการควบคุมการเข้าถึงของแอปพลิเคชันแล้วส่งต่อผู้โจมตีไปยังฟังก์ชั่นพิเศษที่พวกเขาไม่สามารถเข้าถึง.

นี่คือสิ่งที่นักพัฒนาควรดูแลเพื่อป้องกันไม่ให้สิ่งเหล่านี้เกิดขึ้น.

  • นักพัฒนาควรตรวจสอบให้แน่ใจว่า URL นั้นถูกส่งผ่านเพื่อเปิด หากสิ่งเหล่านี้เป็นข้ามโดเมนก็อาจมีความเสี่ยงที่จะฉีดรหัส.
  • นอกจากนี้ควรให้ความสนใจหาก URL นั้นเกี่ยวข้องหรือหากพวกเขาระบุโปรโตคอล URL สัมพัทธ์ไม่ได้ระบุโปรโตคอลเช่นเราจะไม่ทราบว่าเริ่มต้นด้วย HTTP หรือ https หรือไม่ เบราว์เซอร์ถือว่าทั้งสองเป็นจริง.
  • อย่าพึ่งพาส่วนหัวกำเนิดสำหรับการตรวจสอบการควบคุมการเข้าถึงเนื่องจากสามารถปลอมแปลงได้ง่าย.

คุณจะรู้ได้อย่างไรว่าเปิดใช้งาน CORS ในโดเมนเฉพาะหรือไม่?

คุณสามารถใช้เครื่องมือสำหรับนักพัฒนาในเบราว์เซอร์เพื่อตรวจสอบส่วนหัว.

การส่งข้อความข้ามโดเมน

การส่งข้อความข้ามโดเมนก่อนหน้านี้ไม่ได้รับอนุญาตในเบราว์เซอร์เพื่อป้องกันการโจมตีข้ามสคริปต์.

สิ่งนี้ยังป้องกันการสื่อสารที่ถูกต้องระหว่างเว็บไซต์ที่เกิดขึ้นซึ่งทำให้การส่งข้อความข้ามโดเมนจำนวนมากในขณะนี้.

การส่งข้อความทางเว็บช่วยให้ API ที่แตกต่างสามารถโต้ตอบได้อย่างง่ายดาย.

เพื่อป้องกันการโจมตีข้ามสคริปต์นี่คือสิ่งที่นักพัฒนาควรทำ.

พวกเขาควรระบุที่มาที่คาดหวังของข้อความ

  • แอตทริบิวต์ดั้งเดิมควรได้รับการตรวจสอบข้ามและตรวจสอบข้อมูล.
  • หน้าการรับควรตรวจสอบแอตทริบิวต์ดั้งเดิมของผู้ส่งเสมอ สิ่งนี้จะช่วยยืนยันว่าข้อมูลที่ได้รับนั้นถูกส่งจากตำแหน่งที่คาดหวัง.
  • หน้าการรับควรดำเนินการตรวจสอบความถูกต้องของอินพุตเพื่อให้แน่ใจว่าข้อมูลอยู่ในรูปแบบที่ต้องการ.
  • ข้อความที่แลกเปลี่ยนควรถูกตีความว่าเป็นข้อมูลที่ไม่ใช่รหัส.

การจัดเก็บที่ดีขึ้น

คุณสมบัติอีกอย่างของ html5 คือช่วยให้สามารถจัดเก็บได้ดีขึ้น แทนที่จะใช้คุกกี้เพื่อติดตามข้อมูลผู้ใช้เบราว์เซอร์เปิดใช้งานเพื่อเก็บข้อมูล.

HTML5 ช่วยให้จัดเก็บข้อมูลในหลาย ๆ หน้าต่างมีความปลอดภัยที่ดีขึ้นและเก็บรักษาข้อมูลแม้หลังจากปิดเบราว์เซอร์ ที่จัดเก็บในตัวเครื่องสามารถทำได้โดยไม่มีปลั๊กอินของเบราว์เซอร์.

นี่เป็นปัญหาที่แตกต่าง.

นักพัฒนาควรดูแลสิ่งต่าง ๆ ต่อไปนี้เพื่อป้องกันผู้โจมตีจากการขโมยข้อมูล.

  • หากเว็บไซต์จัดเก็บรหัสผ่านของผู้ใช้และข้อมูลส่วนตัวอื่น ๆ แฮกเกอร์สามารถเข้าถึงได้ รหัสผ่านดังกล่าวหากไม่มีการเข้ารหัสสามารถถูกขโมยได้ง่ายผ่าน API ที่เก็บข้อมูลบนเว็บ ดังนั้นจึงขอแนะนำอย่างยิ่งว่าข้อมูลผู้ใช้ที่มีค่าทั้งหมดจะถูกเข้ารหัสและเก็บไว้.
  • นอกจากนี้ payloads มัลแวร์จำนวนมากเริ่มสแกนแคชเบราว์เซอร์และ API การจัดเก็บข้อมูลเพื่อค้นหาข้อมูลเกี่ยวกับผู้ใช้เช่นข้อมูลธุรกรรมและข้อมูลทางการเงิน.

สรุปความคิด

HTML5 นำเสนอโอกาสที่ยอดเยี่ยมสำหรับนักพัฒนาเว็บในการปรับเปลี่ยนและทำให้สิ่งต่าง ๆ ปลอดภัยยิ่งขึ้น.

ส่วนใหญ่ของงานในการให้สภาพแวดล้อมที่ปลอดภัยตกอยู่ในเบราว์เซอร์.

หากสนใจที่จะเรียนรู้เพิ่มเติมโปรดดูที่“เรียนรู้ HTML5 ใน 1 ชั่วโมง” แน่นอน.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map