Верстаю тестовое задание с собеседования на должность "HTML верстальщик сайтов". Полное видео
isu-isu, pasukan keselamatan untuk pelayar Firefox mempunyai versi baru Web HyperText Markup Language, HTML5, yang paling utama di fikiran.
"Aplikasi web menjadi sangat kaya dengan HTML5. dan bukan hanya laman web, "kata Sid Stamm, yang bekerja pada isu keselamatan Firefox untuk Yayasan Mozilla. Stamm bercakap di Simposium Keselamatan Usenix, yang diadakan minggu lalu di Washington DC
"Terdapat banyak permukaan serangan yang perlu kita fikirkan," katanya.
Pada minggu yang sama Stamm menyatakan kebimbangan mengenai HTML5, pemaju penyemak Opera sibuk sibuk membetulkan kelemahan penampan limpahan yang boleh dieksploitasi menggunakan ciri render rajah imej kanvas HTML5
Adakah ia tidak dapat dielakkan bahawa piawaian baru World Wide Web Consortium (W3C) untuk membuat laman web, dikenali secara kolektif sebagai HTML5, datang dengan pelbagai kerentanan baru? Sekurang-kurangnya beberapa penyelidik keselamatan memikirkan hal ini.
"HTML5 membawa banyak ciri dan kuasa ke Web. Anda boleh melakukan lebih banyak lagi [kerja jahat] dengan HTML5 biasa dan JavaScript sekarang daripada sebelumnya "kata penyelidik keselamatan Lavakumar Kuppan.
W3C adalah" menyusun semula reka bentuk keseluruhan ini atas idea bahawa kita akan mula melaksanakan aplikasi dalam pelayar, dan kami telah membuktikan selama bertahun-tahun bagaimana pelayar selamat, "kata Kevin Johnson, penguji penetrasi dengan firma perunding keselamatan Secure Ideas. "Kami perlu kembali untuk memahami penyemak imbas adalah persekitaran yang berniat jahat. Kami kehilangan laman web itu."
Walaupun ia adalah nama spesifikasi sendiri, HTML5 juga sering digunakan untuk menggambarkan koleksi set yang saling berkait piawaian yang, yang diambil bersama, boleh digunakan untuk membina aplikasi web yang lengkap. Mereka menawarkan keupayaan seperti pemformatan halaman, storan data luar talian, rendition imej dan aspek lain. (Walaupun bukannya spesifikasi W3C, JavaScript juga sering diguna pakai dalam piawaian ini, dengan begitu banyak digunakannya membina aplikasi Web.)
Semua fungsi cadangan yang baru ini mula diterokai oleh penyelidik keselamatan.
Awal musim panas ini, Kuppan dan penyelidik lain mencatatkan cara untuk menyalahgunakan HTML5 Offline Application Cache. Google Chrome, Safari, Firefox dan beta dari penyemak imbas Opera semuanya telah melaksanakan ciri ini, dan akan terdedah kepada serangan yang menggunakan pendekatan ini, kata mereka.
Para penyelidik berpendapat bahawa kerana mana-mana laman web boleh membuat cache pada komputer pengguna, dan, dalam sesetengah penyemak imbas, berbuat demikian tanpa izin eksplisit pengguna itu, penyerang boleh menyediakan halaman log masuk palsu ke tapak seperti rangkaian sosial atau tapak e-dagang.
Peneliti lain dibahagikan mengenai nilai temuan ini.
"Ini adalah sentuhan yang menarik tetapi nampaknya tidak menawarkan penyerang rangkaian apa-apa kelebihan tambahan melampaui apa yang mereka sudah dapat mencapainya, "tulis Chris Evans pada senarai surat Pengungkapan Penuh. Evans adalah pencipta perisian Protokol Pemindahan Fail Sangat Selamat (vsftp).
Dan Kaminsky, ketua saintis firma penyelidikan keselamatan Recursion Ventures, bersetuju bahawa kerja ini adalah kesinambungan serangan yang dikembangkan sebelum HTML5. "Browser tidak hanya meminta kandungan, menjadikannya, dan membuangnya. Mereka juga menyimpannya untuk kegunaan kemudian … Lavakumar mengamati bahawa teknologi caching generasi akan datang mengalami sifat yang sama," katanya, dalam sebuah wawancara e-mel.
Pengkritik bersetuju bahawa serangan ini bergantung pada tapak yang tidak menggunakan Lapisan Soket Selamat (SSL) untuk menyulitkan data antara penyemak imbas dan pelayan laman Web, yang lazimnya diamalkan. Tetapi walaupun kerja ini tidak menemui jenis kelemahan baru, ia menunjukkan bahawa kelemahan lama boleh digunakan semula dalam persekitaran baru ini.
Johnson mengatakan bahawa, dengan HTML5, banyak ciri-ciri baru merupakan ancaman sendiri, kerana cara mereka meningkatkan jumlah cara penyerang dapat memanfaatkan pelayar pengguna untuk melakukan kemudaratan.
"Selama bertahun-tahun keselamatan telah memfokuskan pada kelemahan - penampan limpahan, serangan suntikan SQL. Kami menambal mereka, kami membaikinya, kami memantau mereka, "kata Johnson. Tetapi dalam kes HTML5, ciri-ciri itu sendiri "yang boleh digunakan untuk menyerang kami," katanya. Sebagai contoh, Johnson menunjuk kepada Google Gmail, yang merupakan pengguna awal keupayaan penyimpanan tempatan HTML5. Sebelum HTML5, penyerang mungkin perlu mencuri cookie dari mesin dan menyahkodnya untuk mendapatkan kata laluan untuk perkhidmatan e-mel dalam talian. Sekarang, penyerang hanya perlu masuk ke penyemak imbas pengguna, di mana kisah Gmail salinan peti masuk.
"Set ciri ini menakutkan," katanya. "Jika saya dapat mencari kelemahan dalam aplikasi Web anda, dan menyuntik kod HTML5, saya boleh mengubah suai tapak anda dan menyembunyikan perkara yang saya tidak mahu anda lihat."
Dengan storan setempat, penyerang boleh membaca data dari penyemak imbas anda, atau masukkan data lain di sana tanpa pengetahuan anda. Dengan geolokasi, penyerang boleh menentukan lokasi anda tanpa pengetahuan anda. Dengan versi baru Cascading Style Sheets (CSS), penyerang boleh mengawal unsur-unsur halaman yang dipertingkatkan CSS yang anda dapat lihat. HTML5 WebSocket membekalkan timbunan komunikasi rangkaian kepada penyemak imbas, yang boleh disalah guna untuk komunikasi rahsia pintu belakang.
Ini bukan untuk mengatakan bahawa pembuat pelayar tidak menyedari isu ini. Walaupun mereka bekerja untuk menambah sokongan untuk piawaian baru, mereka mencari cara untuk mencegah penyalahgunaan mereka. Di simposium Usenix, Stamm mencatatkan beberapa teknik yang ditinjau oleh pasukan Firefox untuk meredakan kerosakan yang boleh dilakukan dengan teknologi baru ini.
Sebagai contoh, mereka sedang menjalankan platform pemalam alternatif, yang dikenali sebagai JetPack, yang akan mengekalkan kawalan yang lebih ketat tentang tindakan yang dapat dilaksanakan oleh plug-in. "Sekiranya kami mempunyai kawalan sepenuhnya terhadap [antara muka pengaturcaraan aplikasi], kami dapat mengatakan 'Pengaya ini meminta akses kepada Paypal.com, adakah anda membenarkannya?'" Kata Stamm.
JetPack juga boleh digunakan model keselamatan deklaratif, di mana pemalam mesti mengisytiharkan kepada penyemak imbas setiap tindakan yang ia berniat untuk melaksanakan. Pelayar kemudian akan memantau pemalam untuk memastikan ia kekal dalam parameter ini.
Namun, sama ada pembuat pelayar boleh melakukan cukup untuk mengamankan kekal HTML5 untuk dilihat, pengkritik bertanding.
"Syarikat itu harus mula menilai sama ada ia adalah bernilai ciri-ciri ini untuk melancarkan pelayar baru, "kata Johnson. "Ini adalah salah satu daripada beberapa kali anda boleh mendengar 'Anda tahu, mungkin [Internet Explorer] 6 lebih baik.'"
Joab Jackson merangkumi perisian perusahaan dan berita teknologi umum untuk
Perkhidmatan Berita IDG. Ikut Joab di Twitter di @Joab_Jackson. Alamat e-mel Joab ialah [email protected]
Gears of War 2 "Fixed," "Balanced," and "Improved" Tangkapan penembak taktikal eksklusif 360 untuk menangani eksploitasi multiplayer dan isu-isu keseimbangan, menambah tujuh pencapaian DLC baru.
Adakah anda seorang penipu Gear of War 2? Adakah anda berjalan-jalan semasa menjalankan flamethrowers? Kung-fu melontarkan diri anda melalui udara? Finagle tanpa had peluru untuk Lancer Assault Rifle anda? Memperjuangkan perisai
Isu Perikatan Keselamatan Awan Garis Panduan Baru
Perikatan Keselamatan Awan memperkenalkan garis panduan baru untuk keselamatan pengkomputeran awan pada hari Khamis.
HTC menyelesaikan dengan FTC mengenai isu-isu keselamatan dalam tablet, telefon pintar
Suruhanjaya Perdagangan Persekutuan AS telah mencapai penyelesaian dengan HTC America dalam perisian telefon pintar dan tablet syarikat yang meninggalkan berjuta-juta maklumat peribadi pengguna yang berisiko.