架构师需把HTML5的安全排首位之HTML5安全问题集锦

日期: 2014-08-25 作者:George Lawton翻译:邹雅玲 来源:TechTarget中国 英文

新的性能同时也意味着新的挑战,网络开发人员和管理员需要将HTML5安全性视为重中之重的问题。

HTML5作为一种约定俗成的标准,推出了具有商业价值的基于PC浏览器的应用程序新服务,这同时也是移动应用程序领域内最具影响力的举动。针对HTML5安全性,企业架构师们需要采用一种谨慎而又全局的方法,以确保在缺陷问题出现之前就已经设计出应对方案。

“移动战略合作伙伴”的创始人、互联网安全咨询师 David Eads观察到:“当越来越多的人以一种安全的方式来提高移动应用程序的速度时,HTML5安全问题就得到了改善。但是,仍然还有很长的一段路要走,而且会越走越快。你需要找一个切入点来获取这个重要的突破口。”

企业架构师们需要以企业软件开发生命周期为核心来推出最佳的开发战略,以此来提升应用HTML5安全性。确保网络应用和服务器是否正确以及安全配置是否合理是非常重要的工作环节。大多数新开发的技术在网络应用或者服务器设置中都非常脆弱、容易受到攻击,这可以通过改进和禁用功能来解决种问题。Jerome Segura是Malwarebytes Labs的安全研究主管,他说:“不幸的是,这个问题取决于网络开发人员和管理者是否能做好安全资源工作,当然,这就意味着他们能否真正意识到其中的威胁。”

HTML5安全问题集锦

HTML5为标准浏览器应用程序带来了许多新功能,这些功能可以跨浏览器、跨客户端运行。然而,早期欧洲网络信息安全局就发现了51个主要缺陷。

Geoffrey Vaughan是Security Compass公司的一名安全咨询师,同时也是安全工具的供应商,HTML5中包含一系列新的缺陷,而且比一般标准更脆弱、更容易出现,其中包括安全配置错误问题、跨站点脚本攻击(XSS),它们可以进入本地存储、套件或者跨框架的脚本中:

  • 在多配置平台中更容易出现安全配置错误和跨域资源共享(CORS)问题。所以多配置开发平台在预配置环节中都会存在安全漏洞,这就意味着,如果配置没有经过“淬火”处理,那么应用程序中会出现漏洞。
  • XSS更具攻击性,因为,它可以让网络应用程序具有本机访问的功能。HTML 5应用程序可以识别Java脚本,同时也可以访问获取到特殊的标签来访问本地phone元素。如果攻击者能够利用XSS进行攻击,那么他们可能获取到更多个人资源的访问权限。
  • 企业开发HTML5的额外存储功能,就会引入更多的安全问题。其中存在的主要风险就是,如果你将一些敏感的数据存储到设备中,并且数据丢失、被盗或者被破坏,那么数据就很容易被泄露。
  • HTML5可以跨框架和层级进行操作,因此简化了Web应用程序的开发过程。这个特点再加上CORS方法,使得HTML5应用程序与传统的HTML规格相比更容易引起套件风险。这种风险是比较显著的,但是对于移动应用程序来说,这种风险又很容易被隐藏起来。例如导航和URL栏这些浏览器元件中都很容易隐藏风险。
  • WebSockets协议中将一种新的矢量输运理论引入到企业架构中。Wedge Network公司的系统架构主管以及安全工具供应商Joe Bulman 说:“这就意味着,原本对‘本地防病毒软件或者Web应用程序防火墙’具有防御作用的HTTP感知将不会轻易地就能够对通信的特性进行分类。”

安全教育必不可少

Neohapsis安全、风险咨询公司的高级总监 Mark Hammond认为,企业在进行开发人员培训时应该考虑进行一堂安全教育课程。其中包括访问控制破坏、注入和CORS攻击。开发人员同时也应该考虑研究使用环境安全政策,从而有助于减少这些攻击。

Bulman说,进行一次包括正规应用程序安全习惯在内的训练也是非常重要的。开发人员需要熟知一些安全标准(如OWASP)和一些相关的安全工具、安全库以及较佳的实践方法,例如渗透测试。他说:“在一种安全的应用程序开发过程中,例如本地存储和跨域脚本这样强大的HTML5功能可以安全地部署在应用程序中。”

请继续关注架构师需把HTML5的安全排首位之新功能带来新攻击

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

相关推荐

  • 选择MBaaS或BaaS平台需要仔细考虑

    从手持设备到基于服务器的数据,使用MBaaS或BaaS开发端到端的移动计算体验、应用和服务是快速并且安全的。

  • HTML5促进企业移动化服务走向极致

    在企业困扰于传统移动化方式过于复杂时, HTML5凭借其天然的跨平台特性,乘势而起并逐渐得到企业的关注。可是,由于HMTL5标准建立时间不长,展示性能及稳定性更是需要和浏览器有一个良好的兼容,除此之外企业更是缺乏实际应用经验,所以基于HTML5技术的企业级服务市场还处于一片初创状态。

  • 对话陈本峰:HTML5究竟给企业带来了什么?

    智能手机的普及,移动计算的应用,带火了HTML5技术。尤其,当我们看到微软朋友圈被“故宫与腾讯合作”的广告刷屏,我们不得不承认,HTML5技术确实很重要,但是HTML5究竟带来了什么,与以往移动技术有什么不同?

  • HTML5如何在企业中深入使用?

    据调查显示全球拥有490亿 在线设备,比人口数量多几倍,这说明平均每人拥有不只一部分在线设备。由此可见,全球移动生态系统是多么的庞大。