HTML5에 대한 보안 문제 개발자가 염두에 두어야 할 사항_html5 튜토리얼 팁

애플리케이션 보안 전문가들은 HTML5가 개발자들에게 새로운 보안 과제를 안겨준다고 말합니다.
Apple과 Adobe 사이의 말싸움은 HTML 5의 운명에 대한 많은 추측으로 이어졌습니다. HTML 5의 구현은 아직 갈 길이 멀지만, 한 가지 확실한 것은 HTML을 사용하는 개발자들은 5 HTML5로 인한 보안 문제를 해결하려면 애플리케이션 보안 개발 수명주기 동안 새로운 보안 기능을 배포해야 합니다.
그렇다면 HTML5는 우리가 다루어야 하는 공격 표면에 어떤 영향을 미칠까요? 이 기사에서는 HTML 5에 관한 몇 가지 중요한 보안 문제를 살펴보겠습니다.
　클라이언트 측 저장
HTML의 초기 버전에서는 웹사이트에서 쿠키를 로컬 정보로 저장하는 것만 허용했으며, 이러한 공간은 상대적으로 작았고 간단한 아카이브 정보를 저장하거나 다른 위치에 저장하는 데에만 적합했습니다. Denim Group의 애플리케이션 보안 연구 이사인 Dan Cornell은 세션 ID와 같은 데이터 식별자를 말합니다. 그러나 HTML5 LocalStorage를 사용하면 브라우저가 대규모 데이터베이스를 로컬에 저장할 수 있으므로 새로운 유형의 애플리케이션을 사용할 수 있습니다.
"부수적인 위험은 민감한 데이터가 로컬 사용자의 워크스테이션에 저장될 수 있으며, 워크스테이션에 물리적으로 접근하거나 파괴하는 공격자가 민감한 데이터를 쉽게 얻을 수 있다는 것입니다."라고 Cornell은 말했습니다. "이는 공유 컴퓨터를 사용할 때 특히 중요합니다. Rapid7의 보안 연구원인 Josh Abraham은 "정의에 따르면 이는 클라이언트 시스템에 정보를 저장하는 기능일 뿐입니다. 그러면 클라이언트 측 SQL 주입 공격이 발생할 가능성이 있습니다."라고 말했습니다. 의 클라이언트 데이터베이스가 악성이며 프로덕션 시스템과 동기화할 때 동기화 문제가 발생할 수 있거나 클라이언트의 잠재적인 악성 데이터가 프로덕션 시스템에 삽입될 수 있습니다.”
　이 문제를 해결하려면 개발자가 할 수 있어야 합니다. 데이터가 악성인지 여부를 확인하는 것은 실제로 매우 복잡한 문제입니다.
이 문제의 중요성에 모든 사람이 동의하는 것은 아닙니다. Veracode의 최고 기술 책임자인 Chris Wysopal은 플러그인이나 브라우저 확장을 사용하는 등 웹 애플리케이션이 클라이언트측 데이터를 저장하는 방법이 다양하다고 말했습니다.
"현재 배포된 HTML5 SessionStorage 속성을 조작하는 방법은 많이 알려져 있지만 이 문제는 표준이 확정될 때까지 해결되지 않을 것입니다."라고 Wysopal은 말했습니다.
　
교차 도메인 통신 다른 버전의 HTML에서는 JavaScript가 원래 서버에 다시 XML HTTP 요청을 발행하도록 허용할 수 있지만, HTML5는 이러한 제한을 완화하고 XML HTTP 요청을 다음과 같은 모든 서버로 보낼 수 있습니다. 요청한 서버에서 이를 허용합니다. 물론 서버를 신뢰할 수 없으면 심각한 보안 문제가 발생할 수도 있습니다.
　“예를 들어 매시업(공용 또는 비공개 데이터베이스를 사용하는 두 개 이상의 웹 애플리케이션을 결합하여 통합 애플리케이션을 구성하는 매시업)을 구축하여 JSON(Javascript Object Notation)을 통해 타사 웹사이트에서 게임 점수를 가져올 수 있습니다. 코넬은 "이 웹사이트는 내 사용자의 브라우저에서 실행 중인 애플리케이션에 악성 데이터를 보낼 수 있다"며 "HTML5가 새로운 유형의 애플리케이션 생성을 허용하지만, 개발자가 이를 사용하기 시작할 때 이러한 기능을 이해하지 못한다면 보안이 위협받을 수 있다"고 말했다. 생성된 애플리케이션은 사용자에게 큰 보안 위험을 가져올 것입니다.”
PostMessage()를 사용하는 애플리케이션을 작성하는 개발자의 경우 해당 정보가 자신의 웹 사이트에서 오는지, 아니면 악성 코드에서 나오는지 주의 깊게 확인해야 합니다. Wysopal은 다른 웹사이트에서 악성 메시지를 생성할 수 있다고 덧붙였습니다. 이 기능은 본질적으로 안전하지 않으며 개발자는 도메인 간 통신을 에뮬레이트하기 위해 다양한 DOM(문서 개체 모델)/브라우저 기능을 사용하기 시작했습니다.
또 다른 관련 문제는 World Wide Web Consortium이 현재 교차 출처 리소스 공유 설계에 대해 유사한 도메인 간 메커니즘을 사용하여 동일 출처 정책을 우회하는 방법을 제공한다는 것입니다.
“IE는 Firefox, Chrome, Safari와는 다른 보안 기능을 배포합니다. 특히 일부 참조 코드가 현재 매우 안전하지 않기 때문에 개발자는 너무 허용적인 액세스 제어 목록을 생성하여 피해를 입을 수 있는지 확인해야 합니다.
　
Iframe 보안 　보안 측면에서 HTML5에는 iframe의 샌드박스 속성을 지원하는 등 좋은 기능도 있습니다.
　"이 속성을 사용하면 개발자가 데이터 해석 방법을 선택할 수 있습니다. "안타깝게도 대부분의 HTML과 마찬가지로 이 디자인도 개발자가 오해할 가능성이 있고, 사용하기 불편해서 개발자가 비활성화할 가능성이 높습니다." 올바르게 수행되면 이 기능은 악의적인 제3자 광고로부터 보호하거나 신뢰할 수 없는 콘텐츠의 재생을 방지하는 데 도움이 될 수 있습니다. ”