Верстаю тестовое задание с собеседования на должность "HTML верстальщик сайтов". Полное видео
Als het gaat om nieuwe beveiliging problemen, heeft het beveiligingsteam voor de Firefox-browser de nieuwe versie van de Web HyperText Markup Language, HTML5, vooral in gedachten.
"Web-apps worden ongelofelijk rijk met HTML5. De browser begint met het uitvoeren van volledige toepassingen en niet alleen webpagina's, "zei Sid Stamm, die werkt aan beveiligingsproblemen van Firefox voor de Mozilla Foundation. Stamm sprak op het Usenix Security Symposium, vorige week gehouden in Washington DC
"Er is veel aanvalsoppervlakte waar we aan moeten denken," zei hij. Is het onvermijdelijk dat de World Wide Web Consortium (W3C) een nieuwe reeks standaarden voor het weergeven van webpagina's is, gezamenlijk bekend als HTML5, komen met een hele nieuwe bundel van kwetsbaarheden? Tenminste sommige beveiligingsonderzoekers denken dat dit het geval is. "HTML5 biedt veel functies en kracht op het web. Je kunt zoveel meer [kwaadwillig werk] doen met gewoon HTML5 en JavaScript dan ooit tevoren mogelijk was, "zei beveiligingsonderzoeker Lavakumar Kuppan. De W3C" stemt dit hele redesign af op het idee dat we beginnen met het uitvoeren van applicaties binnen de browser, en we hebben in de loop der jaren bewezen hoe veilig browsers zijn, "zei Kevin Johnson, een penetratietester met beveiligingsadviesbureau Secure Ideas. "We moeten teruggaan naar het begrip dat de browser een kwaadaardige omgeving is. We hebben daar de site van verloren." Hoewel dit de naam is van een specificatie op zichzelf, wordt HTML5 ook vaak gebruikt om een verzameling losse sets te beschrijven van standaarden die samen kunnen worden gebruikt om volwaardige webtoepassingen te bouwen. Ze bieden mogelijkheden zoals pagina-opmaak, offline gegevensopslag, beeldweergave en andere aspecten. (Hoewel JavaScript niet ook een W3C-specificatie is, wordt het ook vaak gebruikt in deze standaarden, dus wordt het veel gebruikt bij het bouwen van webtoepassingen. Al deze nieuwe voorgestelde functionaliteit begint te worden ontdekt door beveiligingsonderzoekers. Eerder deze zomer, Kuppan en een andere onderzoeker plaatsten een manier om de HTML5 Offline Application Cache te misbruiken. Google Chrome, Safari, Firefox en de bèta van de Opera-browser hebben deze functie al geïmplementeerd en zouden kwetsbaar zijn voor aanvallen die deze aanpak gebruikten, merkten ze op. De onderzoekers beweren dat elke website een cache kan maken op de computer van de gebruiker en, in sommige browsers, zonder de uitdrukkelijke toestemming van die gebruiker, kan een aanvaller een valse inlogpagina opzetten voor een site zoals een sociale netwerksite of e-commercesite. Zo'n valse pagina kan dan worden gebruikt om de inloggegevens van de gebruiker te stelen. Andere onderzoekers waren verdeeld over de waarde van deze bevinding. "Het is een interessante wending maar het lijkt geen netwerkaanvallers enig bijkomend voordeel te bieden dan ze kunnen al bereiken ", schreef Chris Evans op de mailinglijst Full Disclosure. Evans is de maker van de Very Secure File Transfer Protocol (vsftp) -software. Critici waren het erover eens dat deze aanval zou berusten op een site die geen Secure Sockets Layer (SSL) gebruikt om gegevens tussen de browser en de webpagina-server te versleutelen, wat gewoonlijk wordt toegepast. Maar zelfs als dit werk een nieuw type kwetsbaarheid niet blootlegt, toont het wel aan dat een oude kwetsbaarheid kan worden hergebruikt in deze nieuwe omgeving. Johnson zegt dat, met HTML5, veel van de nieuwe functies op zich een bedreiging vormen, vanwege hoe ze het aantal manieren verhogen waarop een aanvaller de browser van de gebruiker kan misbruiken om een of ander kwaad te doen. "Al jarenlang heeft de beveiliging zich geconcentreerd op kwetsbaarheden - buffer overflows, SQL injectie-aanvallen.We patch ze, we repareren ze, we controleren ze, "zei Johnson. Maar in het geval van HTML5 zijn het vaak de functies zelf "die kunnen worden gebruikt om ons aan te vallen", zei hij. Johnson wijst bijvoorbeeld op Google's Gmail, dat een vroege gebruiker is van de lokale opslagmogelijkheden van HTML5. Vóór HTML5 moest een aanvaller cookies van een computer stelen en deze decoderen om het wachtwoord voor een online e-mailservice te krijgen. Nu hoeft de aanvaller alleen maar toegang te krijgen tot de browser van de gebruiker, waar Gmail een kopie van de inbox verzamelt. "Deze functies zijn eng," zei hij. "Als ik een fout in uw webtoepassing kan vinden en HTML5-code kan injecteren, kan ik uw site aanpassen en dingen verbergen die ik niet wil dat u ziet." Met lokale opslag kan een aanvaller gegevens uit uw browser lezen, of voeg andere gegevens toe zonder uw medeweten. Met geolocatie kan een aanvaller je locatie bepalen zonder dat je het weet. Met de nieuwe versie van Cascading Style Sheets (CSS) kan een aanvaller bepalen welke elementen van een door CSS verbeterde pagina u kunt zien. De HTML5 WebSocket levert een netwerkcommunicatiestapel aan de browser, die kan worden misbruikt voor sluipende backdoor-communicatie. Dit wil niet zeggen dat de makers van de browser zich niet bewust zijn van dit probleem. Zelfs als ze eraan werken om de ondersteuning voor de nieuwe normen toe te voegen, zoeken ze naar manieren om misbruik te voorkomen. Tijdens het Usenix-symposium merkte Stamm een aantal van de technieken op die het Firefox-team onderzoekt om schade te beperken die met deze nieuwe technologieën zou kunnen worden begaan. Ze werken bijvoorbeeld aan een alternatief plug-in platform, JetPack genaamd, dat zou een strakkere controle hebben over welke acties een plug-in zou kunnen uitvoeren. "Als we de volledige controle over de [interface voor programmeren van applicaties] hebben, kunnen we zeggen:" Deze add-on vraagt toegang tot Paypal.com, zou u het toestaan? "Stamm zei. JetPack kan ook gebruik maken van een declaratief beveiligingsmodel, waarbij de plug-in elke actie die hij wil ondernemen aan de browser moet melden. De browser zou dan de plug-in controleren om ervoor te zorgen dat deze binnen deze parameters blijft. Of browsermakers genoeg kunnen doen om HTML5 te beveiligen valt nog te bezien, concluderen critici. "De onderneming moet beginnen met het evalueren of het is de moeite waard deze functies om de nieuwe browsers uit te rollen, "zei Johnson. "Dit is een van de weinige keren dat je het hoort" Weet je, misschien was [Internet Explorer] 6 beter. "" Joab Jackson behandelt bedrijfssoftware en algemeen nieuws over technologie voor The IDG News Service . Volg Joab op Twitter op @Joab_Jackson. Het e-mailadres van Joab is [email protected]
Nieuwe harde schijf van Western Digital Network verhoogt de snelheid
De harde schijf van het My Book World Edition-netwerk is een alomvattende upgrade ten goede.
Google verhoogt de snelheid van Chrome in nieuwe bèta
Sommige eigenaardigheden blijven bestaan, maar de snellere versie van Chrome biedt ook functies voor slepen, zoomen, automatisch scrollen en invullen van formulieren.
Het nieuwe besturingssysteem van Google verhoogt de privacy en maakt zich zorgen over antitrust
Met het nieuwe besturingssysteem van Google kan het bedrijf gebruikers over het hele internet volgen, zeggen privacyadvocaten.