Wie ändert HTML5 die Websicherheit?

Google Ankündigung Dass sie mit Flash fertig sind, war der letzte Nagel in Flashs Sarg.


Bereits vorher mögen prominente Technokraten Steve Jobs sprach sich offen gegen Flash aus.

Mit dem Niedergang von Flash und dem Aufstieg von HTML5 wurde eine neue Ära eingeläutet, die besser aussehende und besser funktionierende Websites bietet, die mit Mobiltelefonen und PCs gleichermaßen kompatibel sind.

Das Übertragen und Empfangen von Daten ist auch viel einfacher als zuvor.

Es stellt jedoch seine einzigartigen Herausforderungen dar, die gewonnen werden müssen.

Dies hat den Vorteil, dass HTML5 die browserübergreifende Unterstützung und Funktionalität auf ein völlig neues Niveau hebt.

Bestimmte Browser unterstützen keine einzelnen Websiteelemente, und es ist frustrierend, die Websiteelemente ändern zu müssen, um mit dem Erscheinungsbild Schritt zu halten.

HTML5 verwirft diese Anforderung, da alle modernen Browser dies unterstützen.

Herkunftsübergreifende gemeinsame Nutzung von Ressourcen

Cross-Origin Resource Sharing (CORS) ist eine der einflussreichsten Funktionen von HTML5 und bietet die meisten Möglichkeiten für Fehler und Hackerangriffe.

CORS Definiert Header, damit Websites Ursprünge definieren und kontextbezogene Interaktionen ermöglichen können.

Mit html5 schaltet CORS den grundlegenden Sicherheitsmechanismus in Browsern stumm, der als Gleiche Ursprungsregel.

Unter derselben Ursprungsrichtlinie kann ein Browser einer Webseite nur dann den Zugriff auf Daten von einer zweiten Webseite erlauben, wenn beide Webseiten denselben Ursprung haben.

Was ist ein Ursprung??

Ein Ursprung ist eine Kombination aus URI-Schema, Hostname und Portnummer. Diese Richtlinie verhindert, dass böswillige Skripts Daten von Webseiten ausführen und darauf zugreifen.

CORS lockert diese Richtlinie, indem es verschiedenen Standorten den Zugriff auf Daten ermöglicht, um eine kontextbezogene Interaktion zu ermöglichen.

Dies kann dazu führen, dass ein Hacker vertrauliche Daten in die Hände bekommt.

Zum Beispiel,

Wenn Sie bei Facebook angemeldet sind und weiterhin angemeldet sind und dann eine andere Website besuchen, können die Angreifer möglicherweise Informationen stehlen und mit Ihrem Facebook-Konto alles tun, was sie möchten, indem sie die entspannte Cross-Origin-Richtlinie nutzen.

Etwas lauwarm: Wenn ein Benutzer in seinem Bankkonto angemeldet ist und vergisst, sich abzumelden, kann der Hacker Zugriff auf die Anmeldeinformationen des Benutzers, seine Transaktionen oder sogar das Erstellen neuer Transaktionen erhalten.

Browser, die Benutzerdetails speichern, lassen Sitzungscookies für den Exploit offen.

Hacker können sich auch in die Header einmischen, um nicht validierte Weiterleitungen auszulösen.

Nicht validierte Weiterleitungen können auftreten, wenn Browser nicht vertrauenswürdige Eingaben akzeptieren. Dies leitet wiederum eine Umleitungsanforderung weiter. Die nicht vertrauenswürdige URL kann geändert werden, um der schädlichen Site eine Eingabe hinzuzufügen und somit Phishing-Betrug zu starten, indem URLs bereitgestellt werden, die mit der tatsächlichen Site identisch erscheinen.

Unvalidierte Weiterleitungs- und Weiterleitungsangriffe können auch verwendet werden, um in böswilliger Absicht eine URL zu erstellen, die die Zugriffssteuerungsprüfung der Anwendung besteht, und den Angreifer dann an privilegierte Funktionen weiterzuleiten, auf die er normalerweise nicht zugreifen kann.

Hier ist, worauf Entwickler achten sollten, um zu verhindern, dass diese Dinge passieren.

  • Entwickler sollten sicherstellen, dass URLs zum Öffnen übergeben werden. Wenn diese domänenübergreifend sind, kann sie für Code-Injektionen anfällig sein.
  • Achten Sie auch darauf, ob die URLs relativ sind oder ein Protokoll angeben. Eine relative URL gibt kein Protokoll an, d. H. Wir wissen nicht, ob es mit HTTP oder https beginnt. Der Browser geht davon aus, dass beide wahr sind.
  • Verlassen Sie sich bei Zugriffskontrollprüfungen nicht auf den Origin-Header, da diese leicht gefälscht werden können.

Woher wissen Sie, ob CORS in einer bestimmten Domäne aktiviert ist??

Nun, Sie können Entwicklertools im Browser verwenden, um den Header zu untersuchen.

Domänenübergreifendes Messaging

Domänenübergreifendes Messaging war zuvor in Browsern nicht zulässig, um Cross-Site-Scripting-Angriffe zu verhindern.

Dies verhinderte auch die legitime Kommunikation zwischen Websites, was den Großteil der domänenübergreifenden Nachrichtenübertragung ausmachte.

Mit Web Messaging können verschiedene APIs problemlos interagieren.

Um Cross-Scripting-Angriffe zu verhindern, sollten Entwickler Folgendes tun.

Sie sollten den erwarteten Ursprung der Nachricht angeben

  • Die Ursprungsattribute sollten immer überprüft und die Daten überprüft werden.
  • Die empfangende Seite sollte immer das Ursprungsattribut des Absenders überprüfen. Auf diese Weise können Sie überprüfen, ob die empfangenen Daten tatsächlich vom erwarteten Speicherort gesendet werden.
  • Die empfangende Seite sollte auch eine Eingabevalidierung durchführen, um sicherzustellen, dass die Daten das erforderliche Format haben.
  • Ausgetauschte Nachrichten sollten als Daten und nicht als Code interpretiert werden.

Bessere Lagerung

Ein weiteres Merkmal von HTML5 ist, dass es eine bessere Speicherung ermöglicht. Anstatt sich auf Cookies zu verlassen, um die Benutzerdaten zu verfolgen, kann der Browser Daten speichern.

HTML5 ermöglicht die Speicherung über mehrere Fenster hinweg, bietet eine bessere Sicherheit und behält Daten auch nach dem Schließen eines Browsers bei. Lokale Speicherung ist ohne Browser-Plugins möglich.

Dies führt zu verschiedenen Problemen.

Entwickler sollten sich um die folgenden Dinge kümmern, um zu verhindern, dass Angreifer Informationen stehlen.

  • Wenn eine Website Benutzerkennwörter und andere persönliche Informationen speichert, können Hacker darauf zugreifen. Solche Passwörter können, wenn sie nicht verschlüsselt sind, leicht über Webspeicher-APIs gestohlen werden. Es wird daher dringend empfohlen, alle wertvollen Benutzerdaten zu verschlüsseln und zu speichern.
  • Darüber hinaus haben viele Malware-Nutzdaten bereits damit begonnen, Browser-Caches und Speicher-APIs zu scannen, um Informationen zu Benutzern wie Transaktions- und Finanzinformationen zu finden.

Abschließende Gedanken

HTML5 bietet Webentwicklern hervorragende Möglichkeiten, Änderungen vorzunehmen und die Sicherheit zu erhöhen.

Der Großteil der Arbeit zur Bereitstellung einer sicheren Umgebung liegt jedoch bei den Browsern.

Wenn Sie mehr erfahren möchten, lesen Sie „Lernen Sie HTML5 in 1 Stunde” Kurs.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map