Bagaimana HTML5 Menukar Keselamatan Web?

Google pengumuman bahawa mereka selesai dengan kilat adalah kuku terakhir dalam keranda Flash.


Bahkan sebelum itu, teknokrat selebriti suka Steve Jobs secara terbuka menentang Flash.

Dengan kehancuran kilat dan peningkatan HTML5, era baru telah diserahkan dengan ciri-ciri laman web yang kelihatan lebih baik dan berfungsi lebih baik yang serasi dengan telefon bimbit dan PC sama.

Memindahkan data dan menerimanya juga menjadi lebih mudah daripada sebelumnya.

Walau bagaimanapun, ia menyajikan cabaran uniknya yang perlu dimenangi.

Kelebihannya ialah html5 membawa sokongan dan fungsi lintas penyemak imbas ke tahap yang sama sekali baru.

Penyemak imbas tertentu tidak menyokong elemen laman web masing-masing, dan mengecewakan apabila menukar elemen laman web untuk mengikuti penampilan.

HTML5 membuang keperluan itu kerana semua penyemak imbas moden menyokong.

Perkongsian Sumber Merentas Asal

Perkongsian sumber silang (CORS) adalah salah satu ciri html5 yang paling berpengaruh dan juga salah satu yang memberikan kemungkinan besar kesilapan dan serangan penggodam.

CORS mentakrifkan tajuk untuk membantu membolehkan laman web menentukan asal usul dan memudahkan interaksi kontekstual.

Dengan html5 CORS mematikan mekanisme keselamatan asas pada penyemak imbas yang disebut Peraturan Asal yang Sama.

Di bawah dasar asal yang sama, penyemak imbas boleh membenarkan laman web mengakses data dari laman web kedua hanya jika kedua-dua laman web mempunyai asal yang sama.

Apa itu asal usul?

Asal adalah gabungan skema URI, nama host, dan nombor port. Dasar ini menghalang skrip jahat daripada melaksanakan dan mengakses data dari laman web.

CORS melonggarkan dasar ini dengan membolehkan akses laman web yang berbeza ke data untuk membolehkan interaksi kontekstual.

Ini boleh menyebabkan penggodam mendapatkan data sensitif.

Contohnya,

Sekiranya anda log masuk ke Facebook dan tetap log masuk dan kemudian mengunjungi laman web lain, kemungkinan penyerang boleh mencuri maklumat dan melakukan apa sahaja yang mereka mahu ke akaun Facebook anda dengan memanfaatkan dasar asal silang yang santai.

Pada catatan yang sedikit lebih hangat, jika pengguna log masuk ke akaun perbankannya dan lupa log keluar, penggodam boleh mendapatkan akses ke bukti kelayakan pengguna, urus niaganya atau bahkan membuat transaksi baru.

Penyemak imbas dengan menyimpan maklumat pengguna membiarkan kuki sesi terbuka untuk dieksploitasi.

Penggodam juga boleh mencampuri tajuk untuk mencetuskan pengalihan yang tidak disahkan.

Pengalihan yang tidak disahkan boleh berlaku apabila penyemak imbas menerima input yang tidak dipercayai. Ini, seterusnya, memajukan permintaan pengalihan. URL yang tidak dipercaya dapat diubah untuk menambahkan input ke laman web yang berniat jahat dan dengan itu melancarkan penipuan pancingan data dengan memberikan URL yang kelihatan sama dengan laman web yang sebenarnya.

Serangan pengalihan dan pengalihan yang tidak disahkan juga dapat digunakan untuk membuat URL dengan jahat yang akan melewati pemeriksaan kawalan akses aplikasi dan kemudian meneruskan penyerang ke fungsi istimewa yang biasanya tidak dapat mereka akses.

Inilah yang perlu diberi perhatian oleh pembangun untuk mengelakkan perkara ini tidak berlaku.

  • Pembangun harus memastikan bahawa URL dihantar untuk dibuka. Sekiranya ini adalah domain silang, maka hal itu rentan terhadap suntikan kod.
  • Perhatikan juga jika URL relatif atau jika menentukan protokol. URL relatif tidak menentukan protokol, iaitu, kami tidak akan tahu sama ada ia bermula dengan HTTP atau https. Penyemak imbas menganggap bahawa kedua-duanya benar.
  • Jangan bergantung pada tajuk Origin untuk pemeriksaan Kawalan Akses kerana mereka dapat dengan mudah ditipu.

Bagaimana anda tahu jika CORS diaktifkan pada domain tertentu?

Anda boleh menggunakan alat pembangun di penyemak imbas untuk memeriksa tajuk.

Pemesejan Merentas Domain

Pemesejan merentas domain sebelumnya tidak diizinkan dalam penyemak imbas untuk mencegah serangan skrip lintas-laman web.

Ini juga menghalang komunikasi yang sah antara laman web yang berlaku yang menjadikan sebahagian besar pesanan lintas domain sekarang.

Pemesejan web membolehkan API berbeza untuk berinteraksi dengan mudah.

Untuk mengelakkan serangan skrip silang inilah yang harus dilakukan oleh pembangun.

Mereka harus menyatakan asal-usul mesej yang diharapkan

  • Atribut asal harus selalu diperiksa dan data disahkan.
  • Halaman penerima harus selalu memeriksa atribut asal pengirim. Ini membantu mengesahkan bahawa data yang diterima memang dihantar dari lokasi yang diharapkan.
  • Halaman penerima juga harus melakukan pengesahan input untuk memastikan data dalam format yang diperlukan.
  • Mesej yang ditukar harus ditafsirkan sebagai data bukan kod.

Penyimpanan Lebih Baik

Ciri lain dari html5 adalah ia membolehkan penyimpanan lebih baik. Daripada bergantung pada kuki untuk menjejaki data pengguna, penyemak imbas diaktifkan untuk menyimpan data.

HTML5 memungkinkan penyimpanan di beberapa tetingkap, mempunyai keselamatan yang lebih baik dan menyimpan data walaupun setelah menutup penyemak imbas. Penyimpanan tempatan boleh dilakukan tanpa pemalam penyemak imbas.

Ini menimbulkan pelbagai masalah.

Pembangun harus menjaga perkara berikut untuk mengelakkan penyerang mencuri maklumat.

  • Sekiranya laman web menyimpan kata laluan pengguna dan maklumat peribadi lain, maka laman web itu dapat diakses oleh penggodam. Kata laluan tersebut jika tidak dienkripsi dapat dicuri dengan mudah melalui API penyimpanan web. Oleh itu, sangat disarankan agar semua data pengguna yang berharga disulitkan dan disimpan.
  • Selain itu, banyak muatan perisian hasad telah mula mengimbas cache penyemak imbas dan API penyimpanan untuk mencari maklumat mengenai pengguna seperti maklumat transaksi dan kewangan.

Memikirkan kesimpulan

HTML5 menawarkan peluang yang sangat baik bagi pembangun web untuk mengubah suai dan membuat perkara menjadi lebih selamat.

Sebahagian besar kerja dalam menyediakan persekitaran yang selamat bergantung pada penyemak imbas.

Sekiranya berminat untuk mengetahui lebih lanjut, lihat “Belajar HTML5 dalam 1 jamKursus.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Комментариев нет, будьте первым кто его оставит

    Комментарии закрыты.

    Adblock
    detector