HTML5는 새로운 보안 문제 제기

새로운 보안 Firefox 브라우저의 보안 팀은 마음에 HTML5의 새로운 버전 인 Web HyperText Markup Language를 가지고 있습니다. "

"웹 응용 프로그램은 HTML5로 엄청나게 풍부 해지고 있습니다. 브라우저가 풀 보어 응용 프로그램을 관리하기 시작했습니다. 웹 페이지뿐만 아니라 모질라 재단의 파이어 폭스 보안 문제를 다루는 시드 스탐 (Sid Stamm)은 말했다. Stamm은 지난 주 Washington DC에서 개최 된 Usenix Security Symposium에서 연설을했습니다. "

"공격의 대상이 많이 필요합니다 "라고 Stamm은 HTML5에 대한 걱정을 표현한 같은 주에 개발자들 는 HTML5 캔버스 이미지 렌더링 기능을 사용하여 악용 될 수있는 버퍼 오버플로 취약점을 해결하는 데 분주했습니다.W3C (World Wide Web Consortium)의 새로운 웹 페이지 렌더링 표준 집합이 통틀어 알려져 있습니다 HTML5처럼 완전히 새로운 번들과 함께 있습니까? 적어도 일부 보안 연구원들은 이것을 생각하고 있습니다.

"HTML5는 많은 기능과 힘을 웹에 제공합니다. 이전에 가능했던 것보다 훨씬 단순한 HTML5와 JavaScript로 훨씬 많은 악의적 인 작업을 수행 할 수 있습니다 "보안 연구원 인 Lavakumar Kuppan이 말했다.

W3C는"브라우저 내에서 애플리케이션을 실행하기 시작한다는 아이디어를 바탕으로이 모든 재 설계를 수행하고 있으며 브라우저의 보안 수준을 입증 해 왔습니다. "라고 Kevin Johnson은 말하면서, 보안 컨설팅 회사 인 Secure Ideas와 함께 침투 테스터. "브라우저가 악의적 인 환경이라는 것을 이해하는 것으로 돌아 가야합니다. 우리는 그 사이트를 잃어 버렸습니다."

HTML5는 자체 명세의 이름이기는하지만 느슨하게 상호 연관된 집합 이 표준을 함께 사용하면 본격적인 웹 응용 프로그램을 구축하는 데 사용할 수 있습니다. 이들은 페이지 서식, 오프라인 데이터 저장, 이미지 변환 및 기타 기능을 제공합니다. (W3C 사양은 아니지만 자바 스크립트는 빈번하게 이러한 표준에 집중되어 있으므로 웹 애플리케이션을 구축하는 데 널리 사용됩니다.)

이번 새롭게 제안 된 모든 기능은 보안 연구원이 검토하기 시작했습니다.

올 여름 Kuppan과 다른 연구원은 HTML5 오프라인 응용 프로그램 캐시를 오용하는 방법을 게시했습니다. 구글 크롬, 사파리, 파이어 폭스, 오페라 브라우저의 베타 버전은 모두 이미이 기능을 구현했으며,이 방법을 사용하는 공격에 취약 할 것이라고 연구진은 지적했다.

웹 사이트는 사용자의 컴퓨터 및 일부 브라우저에서는 해당 사용자의 명시적인 허가없이 침입자가 소셜 네트워킹 또는 전자 상거래 사이트와 같은 사이트에 가짜 로그인 페이지를 설정할 수 있습니다. 이 같은 가짜 페이지는 사용자의 자격 증명을 도용하는 데 사용될 수 있습니다.

다른 연구자가이 발견의 가치에 관해 나누었습니다. "흥미로운 트위스트이지만 네트워크 공격자에게 그들은 이미 달성 할 수 있습니다. "라고 Full Evclosure 메일 링리스트에 Chris Evans가 썼습니다. Evans는 매우 안전한 파일 전송 프로토콜 (vsftp) 소프트웨어의 창시자입니다.

보안 연구 회사 인 Recursion Ventures의 수석 과학자 인 Dan Kaminsky는이 작업이 HTML5 이전에 개발 된 공격의 연속이라고 동의했습니다. Lavakumar는 차세대 캐싱 기술이이 같은 특성을 겪고 있음을 관찰하고 있다고 그는 말했다. 전자 메일 인터뷰에서 그는 "브라우저는 콘텐츠를 요청하고 렌더링하고 버리는 것이 아니라 나중에 사용하기 위해 저장한다. 비평가들은이 공격이 일반적으로 실행되는 브라우저와 웹 페이지 서버 사이의 데이터를 암호화하기 위해 SSL (Secure Sockets Layer)을 사용하지 않는 사이트에 의존 할 것이라고 동의했습니다. 그러나이 작업이 새로운 유형의 취약점을 발견하지는 못했지만이 새로운 환경에서 오래된 취약점을 재사용 할 수 있음을 보여줍니다.

Johnson은 HTML5를 통해 많은 새로운 기능들이 공격자가 사용자 브라우저를 활용하여 어떤 종류의 해를 끼칠 수있는 방법의 수가 증가했기 때문에 자체적으로 위협이되고 있다고 말합니다.

"수년 동안 보안은 중점을 두었습니다 버퍼 오버 플로우, SQL 인젝션 공격 등의 취약성에 대해 우리는 패치를 적용하고 수정하고 모니터링합니다 "라고 Johnson은 말했습니다. 그러나 HTML5의 경우, "우리에게 공격하는 데 사용할 수있는 기능"인 경우가 종종 있습니다. Johnson은 HTML5의 로컬 스토리지 기능을 사용하는 초기 사용자 인 Google의 Gmail을 예로 들었습니다. HTML5 이전에는 공격자가 컴퓨터에서 쿠키를 훔쳐 온라인 전자 메일 서비스의 암호를 알아야했습니다. 이제 침입자는 사용자의 브라우저에 들어가기 만하면됩니다. Gmail은받은 편지함의 복사본입니다.

"이 기능 세트는 무서워요." "웹 응용 프로그램에서 결함을 발견하고 HTML5 코드를 삽입 할 수 있다면 사이트를 수정하고 내가보기 싫어하는 것을 숨길 수 있습니다."

로컬 저장소를 사용하면 공격자가 브라우저에서 데이터를 읽을 수 있습니다 또는 귀하의 지식없이 다른 데이터를 삽입하십시오. 위치 정보를 사용하면 공격자가 모르게 위치를 확인할 수 있습니다. CSS (Cascading Style Sheets)의 새 버전을 사용하면 공격자가 볼 수있는 CSS 강화 페이지의 요소를 제어 할 수 있습니다. HTML5 WebSocket은 브라우저에 네트워크 통신 스택을 제공하여 우회적 인 백도어 통신에 악용 될 수 있습니다.

브라우저 제조업체가이 문제를 인식하지 못한다는 의미는 아닙니다. 새로운 표준에 대한 지원을 추가하기 위해 노력하더라도, 오용을 방지 할 수있는 방법을 찾고 있습니다. Usenix 심포지엄에서 Stamm은 Firefox 팀이 이러한 새로운 기술로 수행 할 수있는 손상을 완화하기 위해 탐구하고있는 기술 중 일부를 지적했습니다. 예를 들어 JetPack이라는 대체 플러그인 플랫폼에서 작업하고 있습니다. 플러그인이 실행할 수있는 액션을보다 강력하게 제어 할 수 있습니다. "우리가 [응용 프로그램 프로그래밍 인터페이스]를 완전히 제어 할 수 있다면 '이 추가 기능이 Paypal.com에 대한 액세스를 요청하고 있습니다. 허용 할 수 있습니까?'라고 말할 수 있습니다."라고 Stamm이 말했습니다.

JetPack은 플러그 인이 수행 할 각 동작을 브라우저에 선언해야하는 선언적 보안 모델입니다. 그런 다음 브라우저는 플러그인을 모니터링하여 이러한 매개 변수 내에 머물러 있는지 확인합니다.

여전히 브라우저 제조업체가 HTML5 보안을 확보 할 수 있는지 여부는 아직 결정되지 않았다고 비판가들은 주장합니다.

새로운 브라우저를 선 보이기 위해 이러한 기능을 사용할 가치가 있습니다. "라고 Johnson은 말했습니다. "이것은 인터넷 익스플로러 6이 더 좋았을 수도 있습니다."

요아브 잭슨 (Joseph Jackson)은

IDG 뉴스 서비스

에 대한 엔터프라이즈 소프트웨어 및 일반 기술 뉴스를 다루고 있습니다.. @Joab_Jackson에서 Twitter의 Joab을 팔로우하십시오. Joab의 전자 메일 주소는 [email protected]입니다.