Sikkerheten bekymrer i HTML5

Sikkerheten bekymrer i HTML5

Nettleseren blir tykkere og mer utsatt for angrep, tror sikkerhetsforskere.

Den nye HTML-standarden som gir verdensveven nye muligheter, byr samtidig på nye sikkerhetsutfordringer.

- Webapplikasjoner blir vanvittig rike med HTML5. Nettleseren starter å håndtere fullverdige applikasjoner, og ikke bare nettsider. Det er nye angrepsflater vi må tenke over, uttalte Sid Stamm fra Firefox Foundations sikkerhetsteam under konferansen Usenix Security Symposium forrige uke.

Videreført hull

På samme tid som Stamm la ut om sine bekymringer, jobbet Opera-ansatte med å fikse en sårbarhet nettopp relatert til HTML5. Er det uunngåelig at World Wide Web Consortiums (W3C) siste standard, HTML5, automatisk drar med seg en hel rekke nye sårbarheter?, spør Computerworlds nyhetstjeneste. Mange av forskerne vi har snakket med mener dette.

- HTML5 tar med seg mange nye funksjoner og ny kraft til verdensveven. Du kan gjøre ganske mye mer ondskapsfullt med ren HTML5 og Javascript enn det som i det hele tatt var mulig før, sier sikkerhetsforsker Lavukumar Kuppan.

Penetrasjonstester Kevin Johnson fra Secure Ideas er langt på vei enig. HTML5 er en spesifikasjon i seg selv, men brukes ofte også til å beskrive en totalpakke med standarder som sammensatt kan lage fullverdige nettapplikasjoner. Johnson mener at nå som applikasjoner skal kjøres i nettlesere, må man tenke nettlesersikkerhet på nytt.

Tidligere i sommer viste Kuppan og en annen sikkerhetsforsker frem en måte å misbruke offline cache i HTML5. Chrome, Safari, Firefox og en betaversjon av Opera var alle sårbare. Angrepet kan utnyttes til en kløktig variant av nettfiske.

Andre sikkerhetsforskere påpeker at dette strengt tatt ikke er noe nytt, det er bare en konstatering av at HTML5 viderefører utfordringer fra tidligere nettstandarder, slik at en gammel sårbarhet kan brukes videre.

Trusler i seg selv

Johnson mener på sin side at mange av HTML5s nye funksjoner innebærer en trussel i seg selv, fordi de øker antallet måter angriperen kan få offerets nettleser til å knele.

- I årevis har det blitt fokusert på sårbarheter innen sikkerhet, slik som bufferoverskridning og SQL-injeksjonsangrep. Vi lapper dem, vi fikser dem, vi overvåker dem. Men i tilfellet av HTML5 er det ofte funksjonen i seg selv som kan brukes til å angripe oss, argumenterer han.

Han viser til et eksempel relatert til Gmail, en tjeneste som har vært tidlig ute med å benytte HTML5s funksjon for lokal lagring. Før i tiden kunne skurkene måtte stjele cookies fra maskinen og dekode dem for å få tilgang til passord og brukernavn til brukerens eposttjeneste. Nå trenger angriperne bare knekke brukerens nettleser for å få tilgang på hele brukerens lokalt lagrede innboks.

- Funksjonen er skremmende, mener han, men har også flere andre eksempler på lager:

Med lokallagring kan en angriper lese data fra nettleseren din eller injisere data uten din viten. Med geolokalisering kan angriperen finne ut hvor du er uten at du vet det.

Med nye versjoner av stilark (CSS) kan angriperen kontrollere hvilke deler av en stilarkbasert side du kan se.

HTML5 Websocket kan misbrukes til hemmelig bakdørkommunikasjon.

IE6 bra likevel?

Men netttleserleverandørene har heldigvis de samme tankene i bakhodene. Etter hvert som nye funksjoner støttes, jobbes det også med å forhindre misbruk.

Stamm fra Firefox nevnte under konferansen noen teknikker Firefox utforsker for å motarbeide slike nye angrepsformer.

For eksempel jobbes det med en alternativ plattform for innstikkprogrammer, kalt Jetpack. Denne ville gitt strengere kontroll for hvilke handlinger et innstikkprogram kan utføre. Tanken er at styringssystemet for innstikkprogrammene for eksempel skal kunne si ”Innstikkprogrammet forsøker å få tilgang til Paypal – gir du tillatelse?”

Det kan også hende Jetpack vil kreve at innstikkprogrammet klart sier fra hvilke handlinger det skal gjøre. I så fall kan nettleseren overvåke programmet og sørge for at det holder seg innenfor sine egne definerte rammer.

Uavhengig av Jetpack, det gjenstår det å se om nettleserleverandørene klarer å gjøre nok for å sikre HTML5, mener kritikerne.

- Bedrifter må starte å evaluere hvorvidt det er verdt å rulle ut nye nettlesere med disse funksjonene. Dette kan være en av de få gangene du kan komme til å høre ”Vet du hva, kanskje Internet Explorer 6 var bedre?”, sier Johnson.