英國安全供應(yīng)商Sophos公司高級(jí)技術(shù)專家James Lyne表示，潛在的HTML 5安全問題可能會(huì)影響該技術(shù)的迅速普及。如果HTML 5功能沒有進(jìn)行正確編程，安全漏洞可能使攻擊者獲取對(duì)敏感數(shù)據(jù)的訪問權(quán)限。HTML 5技術(shù)功能豐富，為開發(fā)人員提供了本地存儲(chǔ)、內(nèi)置圖形渲染和挖掘移動(dòng)設(shè)備的地理定位數(shù)據(jù)或者在瀏覽器沒有連接到互聯(lián)網(wǎng)時(shí)顯示消息的功能。

“HTML 5的所有東西都是本地和內(nèi)置的，而不需要各種插件，”Lyne表示，“如果我們使用良好的安全模式、良好的權(quán)限模式和良好的測(cè)試來標(biāo)準(zhǔn)化HTML 5技術(shù)，那么無論從用戶體驗(yàn)還是安全性來看，HTML 5絕對(duì)是最佳選擇。”

HTML 5標(biāo)準(zhǔn)仍然在起草中，不過已經(jīng)被大部分瀏覽器制造商采用。Adobe系統(tǒng)公司在11月份宣布，它將不再支持智能手機(jī)和平板電腦上的Flash功能，而是支持HTML 5。萬維網(wǎng)聯(lián)盟(World Wide Web Consortium，W3C)也一直在致力于制定標(biāo)準(zhǔn)來改善HTML的功能。

專家稱萬維網(wǎng)聯(lián)盟仍然需要努力解決HTML 5的安全和隱私問題。標(biāo)準(zhǔn)并沒有解決cookie追蹤問題，這是經(jīng)常被批評(píng)的問題，該功能主要用于營銷人員追蹤個(gè)人的瀏覽習(xí)慣。HTML 5引入了很多追蹤和存儲(chǔ)web用戶信息的新方式。Lyne表示，清理敏感信息和讓用戶管理隱私數(shù)據(jù)并沒有得到規(guī)范。

此外，針對(duì)Flash應(yīng)用程序使用的常見攻擊技術(shù)—Clickjacking可以引誘用戶在訪問網(wǎng)站或者使用web應(yīng)用程序時(shí)執(zhí)行惡意代碼或者點(diǎn)擊惡意鏈接。瀏覽器制造商已經(jīng)部署了很多保護(hù)措施來預(yù)防大多數(shù)clickjacking攻擊。

趨勢(shì)科技公司高級(jí)威脅研究人員Robert McArdle指出，JavaScript形式的clickjacking防御對(duì)于HTML 5并沒有用，HTML 5還增加了一個(gè)沙箱功能。

“在很多情況下，這的確更加安全，但是無法利用目前對(duì)付clickjacking最強(qiáng)的抵御方法，”McArdle在趨勢(shì)科技的TrendLabs博客中寫道。

企業(yè)還需要才去額外的步驟來防止利用HTML 5漏洞的攻擊，web內(nèi)容過濾、防病毒和其他端點(diǎn)安全技術(shù)將幫助抵御攻擊，Lyne表示。

“我希望我們能夠在各大瀏覽器間達(dá)成一致的安全模式，”Lyne表示，“如果我們讓它順其自然的發(fā)展，我相信在HTML 5普及的初期將會(huì)有一段痛苦時(shí)期。”

此外，開放式Web應(yīng)用程序安全項(xiàng)目OWASP的成員正在開發(fā)開放式Web應(yīng)用程序安全項(xiàng)目OWASP的成員們正在為應(yīng)用程序開發(fā)人員開發(fā)一份HTML 5最佳做法文檔以及網(wǎng)站。安全測(cè)試供應(yīng)商Veracode公司研究副總裁Chris Eng表示，開發(fā)人員可能會(huì)關(guān)閉那些他們不理解的HTML 5功能，而這可能帶來安全問題。

“開發(fā)人員可以做的最重要的事情就是記住基本的安全原則，例如，所有用戶輸入都應(yīng)視為不可信任的，”Eng表示，“他們應(yīng)該學(xué)習(xí)新的HTML 5功能的實(shí)際作用。”

huanghui