Kuinka HTML5 muuttaa verkkosuojausta?

Googlen ilmoitus että ne on tehty salamalla, oli viimeinen naula Salaman arkussa.


Jo ennen sitä kuuluisuuksien teknokraatit pitävät Steve Jobs puhui avoimesti Flashia vastaan.

Flashin häviämisen ja HTML5: n nousun myötä on aikaistettu uusi aikakausi, jonka ominaisuudet ovat paremman näköisiä ja paremmin toimivia verkkosivustoja, jotka ovat yhteensopivia matkapuhelinten ja tietokoneiden kanssa..

Datan siirtäminen ja vastaanottaminen on myös tullut aiempaa selkeämmäksi.

Se esittelee kuitenkin ainutlaatuiset haasteensa, jotka on voitettava.

Tämän etuna on, että html5 vie selainten välisen tuen ja toiminnallisuuden aivan uudelle tasolle.

Tietyt selaimet eivät tue yksittäisiä sivustoelementtejä, ja on turhauttavaa muuttaa sivustoelementtejä pysyäkseen esiintymisten mukana.

HTML5 hylkää tämän vaatimuksen, koska kaikki nykyaikaiset selaimet tukevat.

Lähtökohtaisten resurssien jakaminen

Alkuperäisen lähteen resurssien jakaminen (CORS) on yksi html5: n vaikuttavimmista ominaisuuksista ja myös se, joka tarjoaa eniten mahdollisuuksia virheisiin ja hakkerihyökkäyksiin.

CORS määrittelee otsikot, joiden avulla sivustot voivat määrittää alkuperän ja helpottaa asiayhteyteen liittyvää vuorovaikutusta.

Html5: n avulla CORS vaimentaa perustavanlaatuisen suojausmekanismin selaimilla, joita kutsutaan Sama alkuperäsääntö.

Saman alkuperäkäytännön mukaan selain voi sallia verkkosivun käyttää tietoja toiselta verkkosivulta vain, jos molemmilla verkkosivuilla on sama alkuperä.

Mikä on alkuperä?

Alkuperä on URI-järjestelmän, isäntänimen ja porttinumeron yhdistelmä. Tämä käytäntö estää haitallisia skriptejä suorittamasta ja käyttämästä tietoja verkkosivuilta.

CORS lieventää tätä käytäntöä antamalla eri sivustoille pääsyn tietoihin kontekstuaalisen vuorovaikutuksen mahdollistamiseksi.

Tämä voi johtaa hakkeriin saamaan kätensä arkaluontoisiin tietoihin.

Esimerkiksi,

Jos olet kirjautunut Facebookiin ja pysyt kirjautuneena sisään ja käy sitten toisella sivustolla, hyökkääjät voivat varastaa tietoja ja tehdä mitä tahansa haluamiaan Facebook-tiliisi hyödyntämällä rentouttavaa alkuperää koskevaa käytäntöä.

Hieman lievemmällä huomautuksella, jos käyttäjä on kirjautunut pankkitiliinsä ja unohtaa kirjautua ulos hakkeri, hän voi saada pääsyn käyttäjän käyttäjätietoihin, tapahtumiin tai jopa luoda uusia tapahtumia.

Selaimet tallentamalla käyttäjän tiedot jättävät istuntoevästeet auki hyödyntääkseen.

Hakkerit voivat myös sekoittaa otsikoita validoimattomien uudelleenohjausten käynnistämiseksi.

Validoimattomia uudelleenohjauksia voi tapahtua, kun selaimet hyväksyvät epäluotetut syötteet. Tämä puolestaan ​​välittää uudelleenohjauspyynnön. Luottamatonta URL-osoitetta voidaan muokata lisäämään syöte haitalliselle sivustolle ja siten käynnistämään tietojenkalasteluhuijaukset tarjoamalla URL-osoitteet, jotka näyttävät identtisiltä todellisen sivuston kanssa.

Validoimattomia uudelleenohjaus- ja välityshyökkäyksiä voidaan käyttää myös URL-osoitteen haittaamiseen haitallisesti, joka läpäisi sovelluksen pääsynhallintarkastuksen ja välittää hyökkääjän sitten etuoikeutettuihin toimintoihin, joihin he eivät yleensä pääse..

Kehittäjien on huolehdittava tästä estämään näitä asioita.

  • Kehittäjien on varmistettava, että URL-osoitteet välitetään avaamaan. Jos nämä ovat verkkotunnusten välisiä, niin se voi olla alttiita koodisisäille.
  • Huomaa myös, jos URL-osoitteet ovat suhteellisia tai jos ne määrittävät protokollan. Suhteellinen URL-osoite ei määrittele protokollaa, ts. Emme tiedä, alkaako se HTTP: llä tai https: llä. Selain olettaa, että molemmat ovat totta.
  • Älä luota Alkuperä-otsikkoon kulunvalvonnan tarkistuksissa, koska ne voidaan helposti huijata.

Mistä tiedät, onko CORS käytössä tietyllä verkkotunnuksella?

Voit tutkia otsikkoa selaimen kehittäjätyökaluilla.

Verkkotunnusten välinen viestintä

Verkkotunnusten välinen viestintä oli aiemmin kielletty selaimissa estääksesi sivustojen välisten komentosarjojen hyökkäykset.

Tämä esti myös verkkosivustojen välisen laillisen viestinnän muodostumisen, mikä teki suurimman osan verkkotunnustenvälisestä viestinnästä nyt.

Web-viestinnän avulla eri sovellusliittymät voivat toimia helposti.

Kehittäjien tulee tehdä tällöin estämään komentosarjojen hyökkäykset.

Niiden on ilmoitettava viestin odotettu alkuperä

  • Alkuperämääritteet tulisi aina ristiintarkistaa ja tiedot tarkistaa.
  • Vastaanottavan sivun tulee aina tarkistaa lähettäjän alkuperäominaisuus. Tämä auttaa varmistamaan, että vastaanotetut tiedot todellakin lähetetään odotetusta sijainnista.
  • Vastaanottavan sivun tulisi myös suorittaa syötteen validointi sen varmistamiseksi, että tiedot ovat vaaditussa muodossa.
  • Vaihdetut viestit tulee tulkita tiedoksi, ei koodiksi.

Parempi varastointi

Toinen html5: n ominaisuus on, että se sallii paremman tallennuksen. Sen sijaan, että luottaisi evästeisiin käyttäjän tietojen seuraamiseksi, selain sallii tietojen tallennuksen.

HTML5 sallii tallennuksen useissa ikkunoissa, sillä on parempi turvallisuus ja se säilyttää tiedot jopa selaimen sulkemisen jälkeen. Paikallinen tallennus on mahdollista ilman selaimen laajennuksia.

Tämä tuo esiin erilaisia ​​ongelmia.

Kehittäjien tulee huolehtia seuraavista asioista estääksesi hyökkääjät varastamasta tietoja.

  • Jos sivusto tallentaa käyttäjän salasanat ja muut henkilökohtaiset tiedot, hakkerit voivat käyttää sitä. Tällaiset salasanat, ellei niitä ole salattu, voidaan helposti varastaa verkkotallennusliittymien kautta. Siksi on erittäin suositeltavaa, että kaikki arvokkaat käyttäjätiedot salataan ja tallennetaan.
  • Lisäksi monet haittaohjelmien hyötykuormat ovat jo aloittaneet selaimen välimuistien ja tallennussovellusliittymien tarkistamisen käyttäjiä koskevien tietojen löytämiseksi, kuten transaktio- ja taloudelliset tiedot.

Lopuksi ajatukset

HTML5 tarjoaa erinomaiset mahdollisuudet verkkokehittäjille muokata ja tehdä asioistaan ​​paljon turvallisempia.

Suurin osa turvallisen ympäristön tarjoamisesta tehdystä työstä kuuluu selaimille.

Jos olet kiinnostunut oppimaan lisää, tarkista “Opi HTML5 tunnissa”Kurssi.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map