Ako HTML5 mení webovú bezpečnosť?

Google je oznámenia že sú hotové s bleskom, bol posledný klinec vo Flashovej rakve.


Ešte predtým sa páči technokrati celebrít Steve Jobs otvorene hovoril proti Flashu.

Vďaka zániku flash a vzostupu HTML5 bola zavedená nová éra, v ktorej sa nachádzajú lepšie vyzerajúce a lepšie fungujúce webové stránky, ktoré sú kompatibilné s mobilnými telefónmi aj počítačmi..

Prenos údajov a ich prijímanie je tiež oveľa jednoduchšie ako predtým.

Predstavuje však svoje jedinečné výzvy, ktoré je potrebné vyhrať.

Výhodou je, že html5 podporuje podporu a funkčnosť medzi prehliadačmi na úplne novú úroveň.

Niektoré prehliadače nepodporujú jednotlivé prvky lokality a je frustrujúce, že je potrebné meniť prvky stránok, aby ste udržali krok s podobným výskytom..

HTML5 túto požiadavku zahodí, pretože všetky moderné prehliadače podporujú.

Zdieľanie zdrojov krížového pôvodu

Zdieľanie zdrojov krížového pôvodu (CORS) je jednou z najvplyvnejších vlastností html5 a tiež takou, ktorá predstavuje najväčšie možnosti chýb a útokov hackerov..

Corsy definuje hlavičky, ktoré pomôžu webovým stránkam definovať pôvod a uľahčia kontextové interakcie.

S html5 CORS stlmuje základný bezpečnostný mechanizmus prehliadačov nazývaný Pravidlo rovnakého pôvodu.

V rámci rovnakých pravidiel pôvodu môže prehliadač povoliť webovej stránke prístup k údajom z druhej webovej stránky, iba ak obidve webové stránky majú rovnaký pôvod..

Čo je to pôvod?

Počiatok je kombináciou schémy URI, názvu hostiteľa a čísla portu. Táto zásada zabraňuje škodlivým skriptom v spúšťaní a prístupe k údajom z webových stránok.

CORS zmierňuje túto politiku tým, že umožňuje rôznym webovým stránkam prístup k údajom, čo umožňuje kontextovú interakciu.

To môže viesť hackera k tomu, aby získal ruky na citlivé údaje.

Napríklad,

Ak ste prihlásený / -á do Facebooku a zostanete prihlásený / -á a potom navštívite inú stránku, je možné, že útočníci ukradnú informácie a urobia čokoľvek, čo chcú, na váš účet Facebook využitím výhody uvoľnenej politiky krížového pôvodu..

Ak bude používateľ na svoj bankový účet prihlásený a zabudne sa odhlásiť, hacker by mohol získať prístup k povereniam používateľa, jeho transakciám alebo dokonca vytvárať nové transakcie..

Prehliadače uložením detailov používateľa nechávajú súbory cookie relácie otvorené na využitie.

Hackeri sa môžu tiež zamieňať s hlavičkami, aby spustili neplatné presmerovania.

Keď prehliadače akceptujú nedôveryhodný vstup, môže dôjsť k neplatnému presmerovaniu. To zasiela žiadosť o presmerovanie. Nedôveryhodnú adresu URL je možné upraviť tak, aby pridala vstup na škodlivé stránky a tým spustila phishingové podvody poskytnutím webových adries, ktoré sa zdajú byť rovnaké ako skutočné stránky..

Neoprávnené útoky na presmerovanie a presmerovanie sa tiež môžu použiť na škodlivé vytvorenie adresy URL, ktorá by prešla kontrolou kontroly prístupu aplikácie, a potom preposlala útočníkovi privilegované funkcie, ku ktorým by zvyčajne nemali prístup..

Tu by mali vývojári dbať na to, aby sa týmto veciam zabránilo.

  • Vývojári by mali zabezpečiť, aby sa adresy URL odovzdávali na otvorenie. Ak ide o viac domén, potom môže byť náchylné na injekcie kódu.
  • Venujte pozornosť aj tomu, či sú adresy URL relatívne alebo ak určujú protokol. Relatívna adresa URL nešpecifikuje protokol, t. J. Nevieme, či začína protokolom HTTP alebo https. Prehliadač predpokladá, že obidve sú pravdivé.
  • Pri kontrolách kontroly prístupu sa nespoliehajte na záhlavie Origin, pretože môžu byť ľahko spoofované.

Ako viete, či je v konkrétnej doméne povolený CORS?

Na preskúmanie hlavičky môžete použiť vývojárske nástroje v prehliadači.

Správy naprieč doménami

Správy z viacerých domén boli v prehliadačoch predtým zakázané, aby sa predišlo útokom na skriptovanie naprieč stránkami.

Zabránilo sa tým aj legitímnej komunikácii medzi webovými stránkami, vďaka čomu je teraz veľká časť správ naprieč doménami.

Webové správy umožňujú jednoduchú interakciu rôznych rozhraní API.

Čo by mali vývojári robiť, aby sa predišlo útokom krížového skriptovania?.

Mali by uviesť očakávaný pôvod správy

  • Atribúty pôvodu by sa mali vždy krížovo skontrolovať a overiť údaje.
  • Prijímajúca stránka by mala vždy skontrolovať atribút pôvodu odosielateľa. To pomáha overiť, či sa prijaté údaje skutočne odosielajú z očakávaného miesta.
  • Prijímajúca stránka by mala tiež vykonať overenie vstupu, aby sa zabezpečilo, že údaje sú v požadovanom formáte.
  • Výmenné správy by sa mali interpretovať ako údaje, nie kód.

Lepšie úložisko

Ďalšou vlastnosťou html5 je to, že umožňuje lepšie ukladanie. Namiesto spoliehania sa na súbory cookie na sledovanie používateľských údajov je v prehliadači povolené ukladať údaje.

HTML5 umožňuje ukladanie vo viacerých oknách, má lepšie zabezpečenie a uchováva údaje aj po zatvorení prehliadača. Miestne úložisko je možné bez doplnkov prehliadača.

Toto hlási rôzne ťažkosti.

Vývojári by sa mali postarať o nasledujúce veci, aby zabránili útočníkom ukradnúť informácie.

  • Ak stránka ukladá heslá používateľov a ďalšie osobné informácie, môžu k nim mať prístup hackeri. Takéto heslá, ak nie sú šifrované, sa dajú ľahko ukradnúť prostredníctvom rozhraní API pre webové úložisko. Preto sa dôrazne odporúča, aby všetky cenné údaje o používateľoch boli šifrované a uložené.
  • Mnoho užitočných dát škodlivého softvéru už navyše začalo skenovať vyrovnávacie pamäte prehliadača a rozhrania API na ukladanie údajov, aby našli informácie o používateľoch, ako sú transakčné a finančné informácie.

Záverečné myšlienky

HTML5 ponúka webovým vývojárom vynikajúce príležitosti na modifikáciu a zvýšenie bezpečnosti.

Veľká časť práce pri zabezpečovaní bezpečného prostredia však pripadá na prehliadače.

Ak sa chcete dozvedieť viac, pozrite sa na “Naučte sa HTML5 za 1 hodinu“Samozrejme.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map