HTML5 に関するセキュリティの問題 開発者が留意すべきこと_html5 チュートリアルのヒント

アプリケーションセキュリティの専門家は、HTML5 が開発者にセキュリティ上の新たな課題をもたらすと述べています。
Apple と Adob​​e の間の舌戦は、HTML 5 の運命について多くの憶測を生みました。HTML 5 の実装にはまだ長い道のりがありますが、1 つ確かなことは、HTML を使用する開発者は、 5 HTML5 によってもたらされるセキュリティの課題に対処するには、アプリケーションのセキュリティ開発ライフサイクルに新しいセキュリティ機能を導入する必要があります。
では、HTML5 は、カバーする必要がある攻撃対象領域にどのような影響を与えるのでしょうか?この記事では、HTML 5 に関するいくつかの重要なセキュリティ問題について説明します。
クライアント側ストレージ
HTML の初期バージョンでは、Web サイトがローカル情報として Cookie を保存することしか許可されておらず、これらのスペースは比較的小さく、単純なアーカイブ情報の保存または他の場所へのストレージとしてのみ適していました。デニム グループのアプリケーション セキュリティ研究担当ディレクター、ダン コーネル氏は、セッション ID などのデータの識別子について説明します。ただし、HTML5 LocalStorage を使用すると、ブラウザーで大規模なデータベースをローカルに保存できるため、新しいタイプのアプリケーションを使用できるようになります。
「付随するリスクは、機密データがローカル ユーザーのワークステーションに保存される可能性があり、攻撃者がワークステーションに物理的にアクセスしたり破壊したりすると、機密データを簡単に入手できるということです」とコーネル氏は述べています。「これは、共有コンピュータを使用する場合に特に重要です」 Rapid7 のセキュリティ研究者である Josh Abraham 氏は、「定義上、これは単にクライアント システムに情報を保存する機能にすぎません。場合によっては、クライアント側の SQL インジェクション攻撃の可能性があります。」と述べています。 」
この問題を解決するには、開発者は次のことを行う必要があります。データに悪意があるかどうかを検証するためですが、これは実際には非常に複雑な問題です。
この問題の重要性については、誰もが同意しているわけではありません。 Veracode の最高技術責任者である Chris Wysopal 氏は、プラグインやブラウザ拡張機能の使用など、Web アプリケーションがクライアント側でデータを保存する方法は数多くあると述べました。
「現在展開されている HTML5 SessionStorage プロパティを操作する既知の方法は数多くありますが、この問題は標準が最終決定されるまで解決されません」と Wysopal 氏は述べています。

クロスドメイン通信 他のバージョンの HTML では、JavaScript が元のサーバーに XML HTTP リクエストを発行することが許可されていますが、HTML5 ではこの制限が緩和され、XML HTTP リクエストは、要求されたサーバーはこれを許可します。もちろん、サーバーが信頼できない場合は、重大なセキュリティ上の問題が発生する可能性もあります。
「たとえば、JSON (Javascript Object Notation) を通じてサードパーティの Web サイトからゲーム スコアを取得するマッシュアップ (パブリック データベースまたはプライベート データベースを使用する 2 つ以上の Web アプリケーションを組み合わせて統合アプリケーションを形成するマッシュアップ) を構築できます。コーネル氏は、「この Web サイトは、ユーザーのブラウザーで実行されているアプリケーションに悪意のあるデータを送信する可能性があります。HTML5 では新しいタイプのアプリケーションの作成が可能ですが、開発者が使用を開始するときにこれらの機能を理解していないと、セキュリティが低下します」と述べています。
PostMessage() に依存するアプリケーションを作成する開発者は、その情報が自分の Web サイトからのものであるか、そうでない場合は悪意のあるコードであるかを慎重に確認する必要があります。他の Web サイトから悪意のあるメッセージが作成される可能性があると Wysopal 氏は付け加えました。この機能は本質的に安全ではないため、開発者はクロスドメイン通信をエミュレートするためにさまざまな DOM (ドキュメント オブジェクト モデル)/ブラウザー機能を使用し始めています。
もう 1 つの関連する問題は、World Wide Web Consortium が現在、クロスオリジン リソース共有設計に同様のクロスドメイン メカニズムを使用して同一オリジン ポリシーをバイパスする方法を提供していることです。
「IE は、Firefox、Chrome、Safari とは異なるセキュリティ機能を導入しています。特に、一部の参照コードは現在非常に安全ではないため、開発者は、許可が高すぎるアクセス制御リストを作成することによって被害を受けないようにする必要があります。
」 >
iframe セキュリティ セキュリティの観点から見ると、HTML5 には iframe のサンドボックス属性をサポートする計画など、優れた機能もあります。
この属性により、開発者はデータの解釈方法を選択できます。 「残念ながら、ほとんどの HTML と同様、このデザインは開発者に誤解される可能性が高く、使いにくいという理由で開発者によって無効にされる可能性があります。」この機能を正しく実行すると、悪意のあるサードパーティの広告から保護したり、信頼できないコンテンツの再生を防ぐことができます。 ”