歐盟計(jì)算機(jī)安全局發(fā)出警告：由于HTML5的部分代碼正在重寫，其并不完善的標(biāo)準(zhǔn)可能會(huì)忽略一些重要的安全問(wèn)題。

本周一，歐洲網(wǎng)絡(luò)與信息安全局(ENISA)發(fā)布了一份分析HTML5的長(zhǎng)達(dá)61頁(yè)的文檔，這是對(duì)網(wǎng)絡(luò)編碼基本語(yǔ)言HTML5的最新一份規(guī)范單。

HTML5由世界萬(wàn)維網(wǎng)聯(lián)盟(W3C)所編輯。截止到周二，W3C接受對(duì)其最新HTML5草案的評(píng)論，而ENISA剛好提前一天完成了其建議書(shū)。

ENISA安全服務(wù)項(xiàng)目經(jīng)理Giles Hogben說(shuō)：“特別的事情在于這是第一次有人從安全角度來(lái)總體看待這些成套的規(guī)范”。

HTML5規(guī)范極為重要，因?yàn)榻酉聛?lái)幾年，應(yīng)用程序設(shè)計(jì)師和網(wǎng)絡(luò)開(kāi)發(fā)商要使用HTML5作為規(guī)范標(biāo)準(zhǔn)。要知道上一代的HTML4規(guī)范自從1999年以后就一直在使用。

如果針對(duì)瀏覽器的該規(guī)范還不能達(dá)到標(biāo)準(zhǔn)，那么普通消費(fèi)者與企業(yè)用戶將會(huì)被置于風(fēng)險(xiǎn)之中?，F(xiàn)在每個(gè)人都在使用瀏覽器做各類事情，因而規(guī)范相當(dāng)重要。

ENISA查看了HTML5內(nèi)的13個(gè)規(guī)范，發(fā)現(xiàn)了51個(gè)安全問(wèn)題。一些問(wèn)題能通過(guò)微小的調(diào)整解決，然而其他的問(wèn)題更多是基于用戶需要被提醒注意的功能之上。在建議書(shū)中，其中一個(gè)讓ENISA擔(dān)憂的功能是所謂的“表單篡改”。

HTML5規(guī)范允許通過(guò)點(diǎn)擊“提交”按鈕將基于網(wǎng)絡(luò)的表單安放到網(wǎng)頁(yè)上的任意位置，這意味著攻擊者可能會(huì)感染網(wǎng)頁(yè)上其他的HTML。比如點(diǎn)擊一個(gè)不同的表單按鍵就會(huì)導(dǎo)致表單中的信息被發(fā)送給攻擊者，而不是合法的網(wǎng)站。

Hogben接著說(shuō)道：“新的功能設(shè)計(jì)是為了便于開(kāi)發(fā)者。我們并不是在暗示W(wǎng)3C應(yīng)該取消這項(xiàng)功能，只是說(shuō)用戶應(yīng)該小心由此帶來(lái)的風(fēng)險(xiǎn)。”

ENISA也對(duì)如何使用瀏覽器提出了建議，比如用戶做在線銀行交易時(shí)，應(yīng)該使用不同的瀏覽器，或者在使用多選項(xiàng)卡瀏覽器時(shí)至少有“沙盒式的會(huì)話”。沙盒式的瀏覽器會(huì)話可以避免其他的選項(xiàng)卡(可能包含攻擊頁(yè)面)利用寬松的設(shè)置或權(quán)限設(shè)置來(lái)攻擊整個(gè)瀏覽器應(yīng)用程序。

ENISA計(jì)劃將其建議書(shū)寄送給個(gè)人WEC工作組，這些工作組將會(huì)在2012年1月以前修訂好規(guī)范。

【編輯推薦】

1. 借鑒與參考美國(guó)的互聯(lián)網(wǎng)安全管理經(jīng)驗(yàn)
2. Android安全評(píng)測(cè)：360手機(jī)衛(wèi)士全球第二、國(guó)內(nèi)第一
3. 辦公自動(dòng)化系統(tǒng)中的網(wǎng)絡(luò)安全問(wèn)題研究
4. 承載的不僅是安全 SOC迎接新網(wǎng)絡(luò)時(shí)代
5. EMC公司信息安全事業(yè)部RSA發(fā)表了最新的SBIC報(bào)告