HTML5被吹捧為AdobeFlash的替代品，它能夠更有效地顯示音頻、圖形和視頻，但是研究這項(xiàng)技術(shù)的安全專家稱HTML5將給企業(yè)安全帶來新的挑戰(zhàn)。

[[52672]]

英國安全供應(yīng)商Sophos公司高級技術(shù)專家JamesLyne表示，潛在的HTML5安全問題可能會影響該技術(shù)的迅速普及。如果HTML5功能沒有進(jìn)行正確編程，安全漏洞可能使攻擊者獲取對敏感數(shù)據(jù)的訪問權(quán)限。HTML5技術(shù)功能豐富，為開發(fā)人員提供了本地存儲、內(nèi)置圖形渲染和挖掘移動(dòng)設(shè)備的地理定位數(shù)據(jù)或者在瀏覽器沒有連接到互聯(lián)網(wǎng)時(shí)顯示消息的功能。

“HTML5的所有東西都是本地和內(nèi)置的，而不需要各種插件，”Lyne表示，“如果我們使用良好的安全模式、良好的權(quán)限模式和良好的測試來標(biāo)準(zhǔn)化HTML5技術(shù)，那么無論從用戶體驗(yàn)還是安全性來看，HTML5絕對是最佳選擇。”

HTML5標(biāo)準(zhǔn)仍然在起草中，不過已經(jīng)被大部分瀏覽器制造商采用。Adobe系統(tǒng)公司在11月份宣布，它將不再支持智能手機(jī)和平板電腦上的Flash功能，而是支持HTML5。萬維網(wǎng)聯(lián)盟(WorldWideWebConsortium，W3C)也一直在致力于制定標(biāo)準(zhǔn)來改善HTML的功能。

專家稱萬維網(wǎng)聯(lián)盟仍然需要努力解決HTML5的安全和隱私問題。標(biāo)準(zhǔn)并沒有解決cookie追蹤問題，這是經(jīng)常被批評的問題，該功能主要用于營銷人員追蹤個(gè)人的瀏覽習(xí)慣。HTML5引入了很多追蹤和存儲web用戶信息的新方式。Lyne表示，清理敏感信息和讓用戶管理隱私數(shù)據(jù)并沒有得到規(guī)范。

此外，針對Flash應(yīng)用程序使用的常見攻擊技術(shù)—Clickjacking可以引誘用戶在訪問網(wǎng)站或者使用web應(yīng)用程序時(shí)執(zhí)行惡意代碼或者點(diǎn)擊惡意鏈接。瀏覽器制造商已經(jīng)部署了很多保護(hù)措施來預(yù)防大多數(shù)clickjacking攻擊。

趨勢科技公司高級威脅研究人員RobertMcArdle指出，JavaScript形式的clickjacking防御對于HTML5并沒有用，HTML5還增加了一個(gè)沙箱功能。

“在很多情況下，這的確更加安全，但是無法利用目前對付clickjacking最強(qiáng)的抵御方法，”McArdle在趨勢科技的TrendLabs博客中寫道。

企業(yè)還需要才去額外的步驟來防止利用HTML5漏洞的攻擊，web內(nèi)容過濾、防病毒和其他端點(diǎn)安全技術(shù)將幫助抵御攻擊，Lyne表示。

“我希望我們能夠在各大瀏覽器間達(dá)成一致的安全模式，”Lyne表示，“如果我們讓它順其自然的發(fā)展，我相信在HTML5普及的初期將會有一段痛苦時(shí)期。”

此外，開放式Web應(yīng)用程序安全項(xiàng)目OWASP的成員正在開發(fā)開放式Web應(yīng)用程序安全項(xiàng)目OWASP的成員們正在為應(yīng)用程序開發(fā)人員開發(fā)一份HTML5最佳做法文檔以及網(wǎng)站。安全測試供應(yīng)商Veracode公司研究副總裁ChrisEng表示，開發(fā)人員可能會關(guān)閉那些他們不理解的HTML5功能，而這可能帶來安全問題。

“開發(fā)人員可以做的最重要的事情就是記住基本的安全原則，例如，所有用戶輸入都應(yīng)視為不可信任的，”Eng表示，“他們應(yīng)該學(xué)習(xí)新的HTML5功能的實(shí)際作用。”

【編輯推薦】

1. HTML5增強(qiáng)網(wǎng)絡(luò)安全 同時(shí)帶來新安全漏洞
2. 歐盟計(jì)算機(jī)安全局警告HTML5安全隱患