Как HTML5 изменяет веб-безопасность👨⚕️ |
Главная » Статьи

Как HTML5 изменяет веб-безопасность👨⚕️

Статьи
На чтение 5 мин Опубликовано

Еще до этого знаменитые технори, такие как Стив Джобс, открыто говорили против Flash.

С кончиной вспышки и подъема HTML5 появилась новая эра, в которой реализованы более эффективные веб-сайты, совместимые с мобильными и персональными компьютерами.

Передача данных и их получение также стали намного проще, чем раньше.

Тем не менее, этот стандарт представляет свои уникальные проблемы, которые необходимо обыграть.

Преимущество этого заключается в том, что html5 обеспечивает кросс-браузерную поддержку и функциональность на совершенно новом уровне.

Некоторые браузеры не поддерживают отдельные элементы сайта, и неудобно менять элементы сайта, чтобы не отставать от внешнего вида.

HTML5 отбрасывает это требование, поскольку все современные браузеры поддерживают его.

Содержание
  1. Совместное использование ресурсов
  2. Что такое происхождение?
  3. Как узнать, включена ли CORS в определенном домене?
  4. Междоменная передача сообщений
  5. Лучшее хранение
  6. Заключительные мысли

Совместное использование ресурсов

Совместное использование ресурсов (CORS) является одной из самых влиятельных функций html5, а также той, которая предписывает большинство возможностей для ошибок и хакерских атак.

CORS определяет заголовки, чтобы помочь сайтам определять происхождение и облегчать контекстные взаимодействия.

С помощью html5 CORS отключает основной механизм безопасности в браузерах, называемых Same Origin Rule.

В соответствии с той же политикой происхождения браузер может разрешить веб-странице получать доступ к данным со второй веб-страницы только в том случае, если обе веб-страницы имеют одинаковое происхождение.

Что такое происхождение?

Происхождение – это комбинация схемы URI, имени хоста и номера порта.

Эта политика позволяет злоумышленникам выполнять и получать доступ к данным с веб-страниц.

CORS смягчает эту политику, позволяя различным сайтам получать доступ к данным для обеспечения контекстного взаимодействия.

Это может помочь хакеру получить конфиденциальные данные.

Например,

Если вы вошли в систему Facebook и остаетесь в системе, а затем посетите другой сайт, возможно, что злоумышленники могут украсть информацию и сделать все, что пожелает с вашей учетной записью Facebook, воспользовавшись непринужденной политикой перекрестного происхождения.

При немного более прохладной схеме, если пользователь зарегистрирован в своей банковской учетной записи и забывает выйти из системы, хакер может получить доступ к учетным данным пользователя, его транзакциям или даже создать новые транзакции.

Браузеры, сохраняя данные пользователя, оставляют файлы cookie сеанса открытыми для эксплойта.

Хакеры также могут вмешиваться в заголовки, чтобы запускать неутвержденные перенаправления.

Неверные переадресации могут произойти, когда браузеры принимают ненадежный ввод.

Это, в свою очередь, перенаправляет запрос.

Неверный URL-адрес может быть изменен, чтобы добавить вход на вредоносный сайт и, следовательно, реализовать фишинг-мошенничество, указав URL-адреса, которые идентичны фактическому сайту.

Неопределенные атаки перенаправления и прямой атаки также могут использоваться для злонамеренного создания URL-адреса, который передает проверку контроля доступа  приложению, а затем перенаправляет злоумышленника на привилегированные функции, к которым они обычно не смогут получить доступ.

Вот о чем разработчики должны позаботиться, чтобы это не происходило.

Разработчики должны убедиться, что URL-адреса переданы для открытия. Если они являются междоменными, тогда он может быть уязвим для инъекций кода.
Также обратите внимание, если URL-адреса являются относительными или если они указывают протокол. Относительный URL-адрес не указывает протокол, т. е. мы не знаем, начнется ли он с HTTP или https. Браузер предполагает, что оба значения истинны.
Не полагайтесь на заголовок Origin для проверок контроля доступа, поскольку их можно легко подделать.

Как узнать, включена ли CORS в определенном домене?

Ну, вы можете использовать инструменты разработчика в браузере для проверки заголовка или использовать CORS test tool..

Междоменная передача сообщений

Междоменная передача сообщений ранее была запрещена в браузерах, чтобы предотвратить атаки с использованием межсайтовых скриптов [ XSS ].

Это также мешало законной связи между веб-сайтами, что осуществляло большую часть междоменных сообщений.

Веб-обмен сообщениями позволяет легко взаимодействовать с различными API-интерфейсами.

Чтобы предотвратить атаки с использованием межсайтовых скриптов, разработчики должны сделать следующее.

Они должны указать ожидаемое происхождение сообщения

Атрибуты происхождения всегда должны быть перепроверены и данные тоже.

Страница приема всегда должна проверять атрибут происхождения отправителя.

Это помогает убедиться, что полученные данные действительно отправлены из ожидаемого местоположения.

Страница приема также должна выполнять проверку ввода для обеспечения того, чтобы данные находились в требуемом формате.

Обмен сообщениями должен быть интерпретирован как данные, а не код.

Лучшее хранение

Еще одна особенность html5 заключается в том, что она позволяет лучше хранить данные.

Вместо того, чтобы полагаться на файлы cookie для отслеживания пользовательских данных, браузер может хранить данные.

HTML5 позволяет хранить данные в нескольких окнах, имеет улучшенную безопасность и сохраняет данные даже после закрытия браузера.

Локальное хранилище возможно и без плагинов браузера.

Это вызывает различные неприятности.

Разработчики должны позаботиться о следующих вещах, чтобы предотвратить проникновение к информации злоумышленников.

  • Если на сайте хранятся пароли пользователей и другая личная информация, к ним могут обращаться хакеры. Такие пароли, если они не зашифрованы, могут быть легко украдены через API веб-хранилища. Поэтому настоятельно рекомендуется, чтобы все ценные пользовательские данные были зашифрованы и сохранены.
  • Кроме того, многие вредоносные программы уже начали сканирование кэшей браузеров и API хранения, чтобы найти информацию о таких пользователях, как транзакционная и финансовая информация.

Заключительные мысли

HTML5 предлагает отличные возможности для веб-разработчиков, а именно возможность изменять и делать вещи намного более безопасными.

Однако основная часть работы по обеспечению безопасной среды приходится на браузеры.

 

html html5 web security
Пожалуйста, не спамьте и никого не оскорбляйте. Это поле для комментариев, а не спамбокс. Рекламные ссылки не индексируются!
Добавить комментарий

  1. helga

    Slozhnovato, no paren’ simpoti4nyi 🙂

    Ответить