In che modo HTML5 sta cambiando la sicurezza Web?

Google annuncio che hanno finito con Flash è stato l’ultimo chiodo nella bara di Flash.


Ancor prima, ai tecnocrati delle celebrità piace Steve Jobs ha parlato apertamente contro Flash.

Con la fine del flash e l’ascesa dell’HTML5 è stata introdotta una nuova era in cui sono presenti siti Web di aspetto migliore e con funzionalità migliori compatibili con dispositivi mobili e PC.

Anche il trasferimento e la ricezione dei dati è diventato molto più semplice di prima.

Tuttavia, presenta le sue sfide uniche che devono essere vinte.

Il vantaggio è che html5 porta il supporto e la funzionalità cross-browser a un livello completamente nuovo.

Alcuni browser non supportano singoli elementi del sito ed è frustrante dover cambiare gli elementi del sito per stare al passo con le apparenze.

HTML5 ignora tale requisito poiché supportano tutti i browser moderni.

Condivisione delle risorse tra origini

La condivisione delle risorse tra le origini (CORS) è una delle caratteristiche più influenti di html5 e anche quella che fa presagire le maggiori possibilità di errori e attacchi di hacker.

CORS definisce le intestazioni per consentire ai siti di definire le origini e facilitare le interazioni contestuali.

Con html5 CORS silenzia il meccanismo di sicurezza fondamentale sui browser chiamato Stessa regola di origine.

In base alla stessa politica di origine, un browser può consentire a una pagina Web di accedere ai dati da una seconda pagina Web solo se entrambe le pagine Web hanno la stessa origine.

Che cos’è un’origine?

Un’origine è una combinazione di schema URI, nome host e numero di porta. Questa politica impedisce agli script dannosi di eseguire e accedere ai dati dalle pagine Web.

CORS allenta questa politica consentendo a diversi siti di accedere ai dati per consentire l’interazione contestuale.

Ciò può indurre un hacker a mettere le mani su dati sensibili.

Per esempio,

Se hai effettuato l’accesso a Facebook e rimani connesso e quindi visiti un altro sito, è possibile che gli aggressori possano rubare informazioni e fare tutto ciò che desiderano sul tuo account Facebook sfruttando la rilassata politica sull’origine incrociata.

Con una nota leggermente più tiepida, se un utente è connesso al suo conto bancario e si dimentica di disconnettersi, l’hacker potrebbe accedere alle credenziali dell’utente, alle sue transazioni o persino a creare nuove transazioni.

I browser memorizzando i dettagli dell’utente lasciano aperti i cookie di sessione per exploit.

Gli hacker possono anche interferire con le intestazioni per attivare reindirizzamenti non convalidati.

I reindirizzamenti non convalidati possono verificarsi quando i browser accettano input non attendibili. Questo, a sua volta, inoltra una richiesta di reindirizzamento. L’URL non attendibile può essere modificato per aggiungere un input al sito dannoso e quindi avviare truffe di phishing fornendo URL che sembrano identici al sito effettivo.

Gli attacchi di reindirizzamento e inoltro non convalidati possono anche essere utilizzati per creare in modo pericoloso un URL che avrebbe superato il controllo del controllo di accesso dell’applicazione e quindi inoltrare l’attaccante a funzioni privilegiate a cui normalmente non sarebbero in grado di accedere.

Ecco cosa dovrebbero occuparsi gli sviluppatori per evitare che ciò accada.

  • Gli sviluppatori dovrebbero assicurarsi che gli URL vengano passati all’apertura. Se si tratta di domini diversi, può essere vulnerabile alle iniezioni di codice.
  • Inoltre, fai attenzione se gli URL sono relativi o se specificano un protocollo. Un URL relativo non specifica un protocollo, ovvero non sapremmo se inizia con HTTP o https. Il browser presuppone che entrambi siano veri.
  • Non fare affidamento sull’intestazione Origin per i controlli di controllo di accesso in quanto possono essere facilmente falsificati.

Come fai a sapere se CORS è abilitato su un determinato dominio??

Bene, puoi usare gli strumenti di sviluppo nel browser per esaminare l’intestazione.

Messaggi tra domini

La messaggistica tra domini era stata in precedenza vietata nei browser per prevenire attacchi di cross-site scripting.

Ciò ha anche impedito la comunicazione legittima tra i siti Web, il che ha reso la maggior parte dei messaggi tra domini ora.

La messaggistica Web consente a diverse API di interagire con facilità.

Per prevenire attacchi cross-scripting ecco cosa dovrebbero fare gli sviluppatori.

Dovrebbero indicare l’origine prevista del messaggio

  • Gli attributi di origine devono sempre essere sottoposti a controllo incrociato e dati verificati.
  • La pagina di ricezione dovrebbe sempre controllare l’attributo di origine del mittente. Ciò consente di verificare che i dati ricevuti vengano effettivamente inviati dalla posizione prevista.
  • La pagina di ricezione deve inoltre eseguire la convalida dell’input per garantire che i dati siano nel formato richiesto.
  • I messaggi scambiati devono essere interpretati come dati non codificati.

Migliore conservazione

Un’altra caratteristica di html5 è che consente una migliore memorizzazione. Invece di fare affidamento sui cookie per tenere traccia dei dati dell’utente, il browser è abilitato alla memorizzazione dei dati.

HTML5 consente l’archiviazione su più finestre, ha una migliore sicurezza e conserva i dati anche dopo la chiusura di un browser. L’archiviazione locale è possibile senza plug-in del browser.

Ciò comporta diversi tipi di problemi.

Gli sviluppatori dovrebbero occuparsi delle seguenti cose per impedire agli aggressori di rubare informazioni.

  • Se un sito memorizza le password degli utenti e altre informazioni personali, gli hacker possono accedervi. Tali password, se non crittografate, possono essere facilmente rubate tramite le API di archiviazione web. Pertanto, si consiglia vivamente di crittografare e archiviare tutti i dati utili degli utenti.
  • Inoltre, molti payload di malware hanno già iniziato la scansione delle cache del browser e delle API di archiviazione per trovare informazioni sugli utenti come le informazioni transazionali e finanziarie.

Pensieri conclusivi

HTML5 offre eccellenti opportunità agli sviluppatori Web di modificare e rendere le cose molto più sicure.

Tuttavia, la maggior parte del lavoro nel fornire un ambiente sicuro ricade sui browser.

Se sei interessato a saperne di più, dai un’occhiata a “Impara HTML5 in 1 ora” corso.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map