HTML5遭歐盟網絡安全機構警告

歐盟計算機安全機構最近發出警告稱，作為HTML5重要組成部分的某些開發層標準正經歷變更，而此類變更很可能導致大量嚴重安全問題的出現。

歐洲網絡及信息安全局(簡稱ENISA)于本周一公布了一份長達61頁的文件，對HTML5以及網頁編碼母語的最新規范進行了詳盡的分析。

HTML5項目由萬維網聯盟(簡稱W3C)策劃并發起，該機構計劃將截至本周二之前所有來自用戶的建議及意見都詳加考量，并酌情納入HTML5的最新變更草案。最終，ENISA在最終期限到來的前一天完成了全部意見的匯總工作。

“我認為這次的情況相當特殊，因為這可以說是大家第一次從安全的角度廣泛地采納意見，并將其引用至規格制定領域，”Giles Hogben說道。他是ENISA機構安全服務部門的方案經理。

HTML5的規范制定相當關鍵，因為它將成為應用程序設計人員及網頁開發人員的使用指南，在未來數年中扮演舉足輕重的角色。回顧過去，HTML4使用規范自1999年以來就一直被頻繁使用。

同理，一旦網頁瀏覽器所使用的此類規范達不到各方面既定要求，那么每個消費者——無論是個人用戶還是企業用戶——都將面臨巨大的安全風險。

“如今每個人都會隨時隨地用到瀏覽器，”Hogben說道。“規范的重要性由此可見一斑。”

ENISA對HTML5的總計十三項規范進行了審核，從中查出了五十一項安全問題。有些問題可以通過對固有規范進行調整加以解決，而其它一些則使得某些功能的使用存在風險，需要用戶對此產生警覺，Hogben說道。其中最受ENISA機構重視的高危功能之一名為“形式篡改”。

HTML5規范存在于基于網頁形式的“提交”按鈕被放置在該網頁中的任何位置上。也就是說，攻擊者可以通過將其它HTMl注入到該頁面中(例如設置另一個形式不同的‘提交’按鈕)，并進而導致用戶信息被發送到攻擊者預設的站點而非合法站點處。

這類新功能“已經使開發人員們廣泛受益，”Hogben說。“我們并不打算建議W3C機構將此功能取消掉，實際上只要用戶在進行涉及此類應用的工作時注意到存在的潛在風險即可。”

ENISA同樣也為瀏覽器的運行機制征集了大量意見。舉例來說，如果某位用戶正在進行網上銀行交易，那么當他需要在不同頁面標簽之間來回切換時，他至少應該使用多種不同的瀏覽器或者至少用到沙盒會話。具備沙盒技術的瀏覽器會話能夠避免其它標簽——例如包含攻擊頁面的那類標簽——利用疏漏對整個瀏覽器應用程序及其權限分配情況進行篡改。

ENISA計劃將全部意見和建議分類發送至W3C中的各對應工作團隊中去，這些信息將幫助大家進一步完善將于2012年1月推出的修訂版HTML5新規范。

原文鏈接：http://www.computerworld.com/s/article/9218776/European_security_agency_issues_HTML5_warning