Como o HTML5 está mudando a segurança da Web?

Do Google anúncio que eles terminaram com flash foi o último prego no caixão de Flash.


Mesmo antes disso, tecnocratas de celebridades como Steve Jobs falou abertamente contra o Flash.

Com o fim do flash e a ascensão do HTML5, uma nova era foi introduzida, com sites com melhor aparência e funcionamento, compatíveis com celulares e PCs..

Transferir e receber dados também se tornou muito mais direto do que antes.

No entanto, apresenta seus desafios únicos que precisam ser vencidos.

A vantagem disso é que o html5 leva o suporte e a funcionalidade entre navegadores a um nível totalmente novo.

Certos navegadores não oferecem suporte a elementos individuais do site, e é frustrante ter que alterar os elementos do site para acompanhar as aparências.

O HTML5 descarta esse requisito, pois todos os navegadores modernos suportam.

Compartilhamento de recursos entre origens

O compartilhamento de recursos de origem cruzada (CORS) é um dos recursos mais influentes do html5 e também um dos que oferecem mais possibilidades de erros e ataques de hackers.

CORS define cabeçalhos para ajudar a permitir que sites definam origens e facilitem interações contextuais.

Com o html5, o CORS silencia o mecanismo de segurança fundamental nos navegadores chamado Regra da mesma origem.

Sob a mesma política de origem, um navegador pode permitir que uma página da Web acesse dados de uma segunda página da Web somente se ambas as páginas tiverem a mesma origem.

O que é uma origem?

Uma origem é uma combinação de esquema de URI, nome do host e número da porta. Esta política impede que scripts maliciosos executem e acessem dados de páginas da web.

O CORS relaxa essa política, permitindo que sites diferentes acessem dados, permitindo a interação contextual.

Isso pode levar um hacker a obter dados confidenciais.

Por exemplo,

Se você está conectado ao Facebook e permanece conectado e depois visita outro site, é possível que os invasores roubem informações e façam o que quiserem com sua conta do Facebook, aproveitando a política relaxada de origem cruzada.

Em uma nota um pouco mais morna, se um usuário estiver conectado à sua conta bancária e se esquecer de desconectar, o hacker poderá acessar as credenciais do usuário, suas transações ou até criar novas transações.

Os navegadores, armazenando detalhes do usuário, deixam os cookies de sessão abertos para exploração.

Os hackers também podem se intrometer nos cabeçalhos para acionar redirecionamentos não validados.

Redirecionamentos não validados podem acontecer quando os navegadores aceitam entrada não confiável. Isso, por sua vez, encaminha uma solicitação de redirecionamento. O URL não confiável pode ser modificado para adicionar uma entrada ao site mal-intencionado e, portanto, iniciar golpes de phishing, fornecendo URLs que parecem idênticos ao site real.

Os ataques de redirecionamento e encaminhamento não validados também podem ser usados ​​para criar maliciosamente um URL que passaria na verificação de controle de acesso do aplicativo e, em seguida, encaminharia o invasor para funções privilegiadas que eles normalmente não poderiam acessar.

Aqui está o que os desenvolvedores devem cuidar para impedir que essas coisas aconteçam.

  • Os desenvolvedores devem garantir que os URLs sejam passados ​​para abrir. Se estes são domínios cruzados, pode ser vulnerável a injeções de código.
  • Além disso, preste atenção se os URLs forem relativos ou se especificarem um protocolo. Um URL relativo não especifica um protocolo, ou seja, não saberemos se ele começa com HTTP ou https. O navegador assume que ambos são verdadeiros.
  • Não confie no cabeçalho Origin para verificações de controle de acesso, pois elas podem ser falsificadas facilmente.

Como você sabe se o CORS está ativado em um domínio específico?

Bem, você pode usar ferramentas de desenvolvedor no navegador para examinar o cabeçalho.

Mensagens entre domínios

As mensagens entre domínios eram anteriormente proibidas nos navegadores para evitar ataques de script entre sites.

Isso também impediu a comunicação legítima entre sites, o que tornou a maior parte das mensagens entre domínios agora.

As mensagens na Web permitem que diferentes APIs interajam com facilidade.

Para evitar ataques de script cruzado, eis o que os desenvolvedores devem fazer.

Eles devem indicar a origem esperada da mensagem

  • Os atributos de origem sempre devem ser cruzados e os dados verificados.
  • A página de recebimento deve sempre verificar o atributo de origem do remetente. Isso ajuda a verificar se os dados recebidos são realmente enviados do local esperado.
  • A página de recebimento também deve executar a validação de entrada para garantir que os dados estejam no formato necessário.
  • As mensagens trocadas devem ser interpretadas como dados e não como código.

Melhor armazenamento

Outro recurso do html5 é que ele permite um melhor armazenamento. Em vez de depender de cookies para acompanhar os dados do usuário, o navegador está habilitado para armazenar dados.

O HTML5 permite o armazenamento em várias janelas, possui melhor segurança e retém os dados mesmo após o fechamento do navegador. O armazenamento local é possível sem os plugins do navegador.

Isso significa diferentes tipos de problemas.

Os desenvolvedores devem cuidar do seguinte para impedir que invasores roubem informações.

  • Se um site armazena senhas do usuário e outras informações pessoais, ele pode ser acessado por hackers. Essas senhas, se não criptografadas, podem ser facilmente roubadas por meio de APIs de armazenamento na web. Portanto, é altamente recomendável que todos os dados valiosos do usuário sejam criptografados e armazenados.
  • Além disso, muitas cargas de malware já começaram a verificar os caches do navegador e as APIs de armazenamento para encontrar informações sobre usuários, como informações transacionais e financeiras.

Pensamentos finais

O HTML5 oferece excelentes oportunidades para os desenvolvedores da Web modificarem e tornarem as coisas muito mais seguras.

A maior parte do trabalho no fornecimento de um ambiente seguro recai sobre os navegadores.

Se estiver interessado em saber mais, confira “Aprenda HTML5 em 1 horaCurso.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map