Mệt mỏi với hàng loạt lỗ hổng an ninh của Flash nhưng HTML5 cũng có vấn đề

Mệt mỏi với hàng loạt lỗ hổng an ninh của Flash nhưng HTML5 cũng có vấn đề

13-08-2015
Tin tức công nghệ
3533

Các trình duyệt Web và công nghệ HTML5 cũng có những điểm yếu của mình trong thế giới ứng dụng Internet.

HTML5 đã được quảng cáo là công nghệ nối tiếp tự nhiên, tiêu chuẩn cho những plug-ins độc quyền như Adobe Flash Player để cung cấp các dịch vụ đa phương tiện phong phú trên Web. Nhưng khi nói đến vấn đề an ninh, một trong những điểm yếu chính của Flash, HTML5 cũng không phải là thuốc chữa.
Trên thực tế, HTML5 cũng có vấn đề an ninh riêng. Julien Bellanger, Giám đốc điều hành của công ty giám sát an ninh ứng dụng Prevoty, nói rằng HTML5 làm cho vấn đề an ninh trở nên phức tạp hơn, chứ không phải đơn giản hơn. Vấn đề an ninh của HTML5 đã là một dấu hỏi trong nhiều năm, và nó đã không được cải thiện trong thời gian dài, ông nói.
Theo Bellanger, những rủi ro mà HTML5 mang lại bao gồm:
• Khai thác chức năng thể hiện hình ảnh, gây lỗi tràn bộ đệm mà tin tặc có thể khai thác để nhúng mã độc vào phiên làm việc
• Tấn công XSS (Cross-Site Scripting),  bằng cách sử dụng kỹ thuật tấn công này tin tặc có thể ăn cắp thông tin từ một phiên làm việc trên trình duyệt
• Tiêm SQL (SQL Injection), một truy vấn độc hại được sử dụng để trích xuất thông tin từ một cơ sở dữ liệu trên trình duyệt
• Tấn công CSRF (Cross-Site Request Forgery), token bị đánh cắp để mạo danh một người sử dụng trên Web
Việc sử dụng HTML5 cũng cho thấy nhiều hơn về những gì trên máy tính hoặc thiết bị di động, chẳng hạn như thiết bị lưu trữ và thiết bị định vị, theo Dan Cornell, giám đốc công nghệ của tập đoàn tư vấn an ninh mạng Denim Group. "Bởi vì các ứng dụng HTML5 có thể truy cập vào những hạ tầng thông tin này, nên tạo cơ hội cho kẻ khai thác," ông nói.
Trình duyệt là "vốn đã không an toàn"
"Vấn đề của chúng ta là các trình duyệt vốn đã không an toàn", theo ông Kevin Johnson, giám đốc điều hành của công ty tư vấn an ninh thông tin Secure Ideas. Ví dụ, HTML5 không cung cấp cơ chế sandbox an toàn, như những gì mà Flash có trong trình duyệt Chrome.
"Một vấn đề khác là chúng ta thêm sự phức tạp đáng kể vào HTML5 mà không thêm khả năng kiểm soát với mức độ tương ứng cho người dùng", Johnson nói. Ít nhất với Flash, người dùng có thể tắt nó đi. Nhưng họ không thể tắt HTML.
HTML5 vẫn giữ lời hứa về an ninh
Mặc dù với triển vọng ảm đạm, nhưng HTML5 vẫn hy vọng về việc đảm bảo an ninh tốt hơn - nếu các hãng cung cấp trình duyệt làm đúng, theo Cornell từ tập đoàn Denim Group. "Các hãng cung cấp trình duyệt cần phải xem xét cách thức để tích hợp HTML5 và thiết kế a ninh vào sản phẩm của họ ngay từ đầu," ông nói. "Nhiều tính năng mới được giới thiệu với HTML5 cho phép ứng dụng truy cập vào các hạ tầng thông tin nhạy cảm, vì vậy việc chăm sóc cần được thực hiện." Johnson cho biết thêm rằng các hãng sản xuất trình duyệt sẽ cung cấp cho người dùng khả năng tắt chức năng mà họ không muốn hoặc không tin tưởng.
Những trình duyệt đang được sử dụng cũng mang đến một số vấn đề về an ninh, bởi vì các lỗ hổng trong một trình duyệt có thể không tồn tại trong trình duyệt khác, Cornell nói. Điều đó làm giảm các nguy cơ về một lỗ hổng bị khai thác phổ dụng, như trong trường hợp của Flash.
Các hãng sản xuất trình duyệt cũng đang làm việc để cải thiện an ninh tổng thể, theo ông Richard Barnes, trường nhóm an ninh Firefox của Mozilla. Sự cạnh tranh giữa Google, Microsoft, Mozilla và Apple đồng nghĩa với việc danh tiếng của họ bị ảnh hưởng nếu họ có vấn đề về an ninh, vì vậy tất cả các hãng sản xuất trình duyệt chính có đội ngũ an ninh mạnh mẽ tại chỗ, ông lưu ý.
Cũng có một việc diễn ra đối với ngành công nghiệp trình duyệt để cải thiện an ninh cho tất cả, Barnes nói. Ví dụ, một phương pháp mã hóa phổ dụng đang được phát triển, và các hãng sản xuất trình duyệt cho phép người dùng nhận thức nhiều hơn và kiểm soát những gì Web biết về họ, ông nói.
Có được sự trợ giúp từ một cơ quan tiêu chuẩn là rất tốt. World Wide Web Consortium, đã giám sát sự phát triển của HTML5, có bản đề nghị đặc điểm kỹ thuật Chính sách bảo mật nội dung (Content Security Policy) của họ, mà W3C Domain Lead Wendy Seltzer nói cung cấp một ngôn ngữ chính sách cho các tác giả Web để hạn chế nội dung hoạt động trên trang web của họ, phòng chống việc tiêm kịch bản. Ngoài ra còn có nỗ lực đặc điểm kỹ thuật Nội dung an toàn (Secure Content) để đảm bảo rằng những tính năng Web mạnh mẽ chỉ hoạt động trong những ngữ cảnh đã được chứng thực và an toàn.
Tuy nhiên, cuối cùng, các ứng dụng cần phải đảm bảo an ninh, cho dù chạy trên một trình duyệt hoặc một hệ điều hành. Bellanger từ Prevoty khuyến cáo rằng các nhà phát triển cần tuân theo hướng dẫn về vòng đời phát triển an ninh của Microsoft để nâng cao khả năng chống lại những vi phạm cho ứng dụng. "Đó vẫn là trách nhiệm của nhà phát triển để xây dựng các ứng dụng an toàn nhất có thể", ông nói.

   
Hỗ trợ 24x7x365
0225-710-6-222 : Tel
0936-247-365 : Hotline

Giới thiệu về chúng tôi

  • Hoster Việt Nam
  • Văn Phòng: Tầng 4 tòa nhà Hatradimex, 22 Lý Tự Trọng, phường Minh Khai, quận Hồng Bàng, TP Hải Phòng
  • Trụ Sở: 162 Hai Bà Trưng, phường An Biên, quận Lê Chân, thành phố Hải Phòng
  • Điện Thoại: 0225.710.6.222 / 0936.247.365
  • Email: [email protected]