En mengde nye eller oppdaterte webstandarder, inkludert HTML5, nærmer seg fullførelse. Dette har fått EUs kontor for nettverks- og IT-sikkerhet, ENISA (European Network and Information Security Agency) til granske spesifikasjonene for å forsøke å avdekke sikkerhetsmessige svakheter, siden muligheten for å få gjort endringer i spesifikasjonene snart blir borte. I alt skal 13 neste-generasjons spesifikasjoner ha blitt studert, noe som skal ha avdekket 51 potensielle trusler med høyst forskjellig alvorlighetsgrad.
Forfatterne av ENISA-rapporten mener at nettlesere muligens er den mest sikkerhetskritiske komponenten i dagens informasjonsinfrastruktur. Svært mye av funksjonaliteten til nettleserne, inkludert sikkerheten, bestemmes av webstandardene.
De 13 spesifikasjonene som har blitt gransket, dekker områder som kommunikasjonsgrensesnitt på tvers av opprinnelse, programmeringsgrensesnitt til maskinvare, widgets, samt HTML5.
– En viktig konklusjon for denne undersøkelsen er at det ble funnet betydelig færre sikkerhetsproblemer i de spesifikasjonene som allerede har blitt utsatt for grundig sikkerhetsrevisjon, sier Marnix Dekker, en av forfatterne av rapporten, i en pressemelding.
I rapporten heter det forøvrig at kvaliteten på sikkerheten til de granskede spesifikasjonene var rimelig godt, særlig når man tar i betraktning antallet nye egenskaper og mengden av spesifikasjoner.
ENISA har delt svakhetene inn i seks ulike grupper:
- Ubeskyttet tilgang til sensitiv informasjon
- Nye måter for angripere å utløse innsending av skjemaer
- Problemer i spesifiseringen og håndhevingen av sikkerhetspolicyer
- Potensielle avvik fra operativsystemets håndtering av tillatelser
- Underspesifiserte egenskaper, noe som potensielt kan føre til motstridende implementeringer eller implementeringer med tilbøyelighet for feil
- Nye måter å omgå både tilgangskontroll-mekanismer og beskyttelsesmekanismer mot mot «click-jacking»
Blant de mer alvorlige svakhetene som nevnes, er den nye muligheten til å introdusere knapper på utsiden av et skjema. Ifølge forfatterne kan en angriper utnytte dette til å narre brukere til å sende innholdet i skjemaet til en destinasjon som kontrolleres av angriperen, rett og slett ved å benytte enkel HTML-innsprøytning.
Forfatterne kommer i rapporten med en rekke anbefalinger, rettet til de ulike målgruppene. Spesifikasjonsforfatterne og nettleserleverandørene anbefales blant annet å studere og komme med tiltak mot svakhetene som har blitt funnet. Dersom det ikke kan rettes innen rimelig tid, bør spesifikasjonene inneholde advarsler om svakhetene.
Webutviklere bør lese disse advarslene og settes seg inn i den potensielle risikoen ved bruk av den usikre funksjonaliteten.
Vanlige nettleserbrukere anbefales å skille mellom den følsomme bruken av nettleserne, den mer dagligdagse bruken og eventuelt også svært risikofylt bruk av nettleseren. Dette kan oppnås ved at brukerne enten oppretter flere nettleserprofiler, noe blant annet Firefox støtter, eller benytter to eller flere forskjellige nettlesere. Da kan den ene profilen eller nettleseren være forbeholdt nettbankbruk og innlogging på andre tjenester som inneholder informasjon som oppfattes som sensitiv, mens den eller de andre profilene eller nettleserne benyttes mer ukritisk.
Hele rapporten på 61 sider er tilgjengelig her.
Les også:
- [08.06.2011] CSS 2.1 har endelig blitt en standard
- [23.05.2011] Nye bevis på kraften i HTML5
- [12.05.2011] Enkelt å krasje pc-er med WebGL
- [10.05.2011] W3C utvikler P2P-standard for nettlesere
- [08.04.2011] Enklere webapp-design med nytt CSS-tillegg
- [28.03.2011] Nå skal avansert weblyd standardiseres
- [25.03.2011] Opera kobles til webkameraet
- [21.03.2011] Ny webstandard ferdig på bare seks måneder
- [04.03.2011] Klart for 3D-grafikk i nettleseren
- [14.02.2011] Vil fullføre HTML5 innen 2014
- [22.10.2010] Bedre publisering av matematikk på weben
- [31.08.2010] Skal vurdere talestøtte i HTML5
