很多时候,浏览器会在你的计算机上遗留下一小部分数据,不大,也就是5-10KB左右。但是相比传统的网页,HTML5就像是一个饥饿的猛兽,要吃掉5MB左右的硬盘空间。
一位名叫菲罗斯·阿伯克哈迪杰哈(Feross Aboukhadijeh)的开发者率先发现了这一漏洞,他表示,多数主流网络浏览器均会受到影响,包括苹果Safari、谷歌Chrome、微软IE和Opera。唯一能够阻止数据大量加载的是Mozilla的火狐浏览器,该产品的数据存储上限为5MB。
该问题的根源在于HTML5存储本地数据的方式。虽然每个浏览器都有不同的存储参数,但很多都支持用户自定义限制,且至少会在用户电脑上存储2.5MB数据。
阿伯克哈迪杰哈发现了一个绕过数据上限的方法,它创建了多个与用户访问过的网站链接的临时网站。由于多数浏览器不会计算这种偶然情况,所以二级网站也可以存储与主网站相同量的数据。通过大批生成这种网站,该漏洞便可向受影响的电脑加载海量数据。
在测试这一漏洞的过程中,阿伯克哈迪杰哈每16秒即可向他的固态硬盘版MacBook Pro中加载1GB数据。他指出,Chrome等32位浏览器可能会在硬盘塞满前崩溃。
“一些采用高明代码的网站其实已经取消了用户电脑对数据存储的限制。”阿伯克哈迪杰哈说。
阿伯克哈迪杰哈已经发布一组代码来利用该漏洞,并创建了一个名为Filldisk的专用网站来凸显该漏洞的危害。他已经将此事报告给受影响的浏览器开发商,但尚未发现恶意行为的大面积爆发。
此前,英国安全供应商Sophos公司高级技术专家JamesLyne表示,潜在的HTML5安全问题可能会影响该技术的迅速普及。如果HTML5功能没有进行正确编程,安全漏洞可能使攻击者获取对敏感数据的访问权限。HTML5技术功能丰富,为开发人员提供了本地存储、内置图形渲染和挖掘移动设备的地理定位数据或者在浏览器没有连接到互联网时显示消息的功能。
“HTML5的所有东西都是本地和内置的,而不需要各种插件,”Lyne表示,“如果我们使用良好的安全模式、良好的权限模式和良好的测试来标准化HTML5技术,那么无论从用户体验还是安全性来看,HTML5绝对是最佳选择。”
HTML5标准仍然在起草中,不过已经被大部分浏览器制造商采用。Adobe系统公司在11月份宣布,它将不再支持智能手机和平板电脑上的Flash功能,而是支持HTML5。万维网联盟(WorldWideWebConsortium,W3C)也一直在致力于制定标准来改善HTML的功能。
专家称万维网联盟仍然需要努力解决HTML5的安全和隐私问题。标准并没有解决cookie追踪问题,这是经常被批评的问题,该功能主要用于营销人员追踪个人的浏览习惯。HTML5引入了很多追踪和存储web用户信息的新方式。Lyne表示,清理敏感信息和让用户管理隐私数据并没有得到规范。
“在很多情况下,这的确更加安全,但是无法利用目前对付clickjacking最强的抵御方法,”McArdle在趋势科技的TrendLabs博客中写道。
企业还需要才去额外的步骤来防止利用HTML5漏洞的攻击,web内容过滤、防病毒和其他端点安全技术将帮助抵御攻击,Lyne表示。
“我希望我们能够在各大浏览器间达成一致的安全模式,”Lyne表示,“如果我们让它顺其自然的发展,我相信在HTML5普及的初期将会有一段痛苦时期。”
此外,开放式Web应用程序安全项目OWASP的成员正在开发开放式Web应用程序安全项目OWASP的成员们正在为应用程序开发人员开发一份HTML5最佳做法文档以及网站。安全测试供应商Veracode公司研究副总裁ChrisEng表示,开发人员可能会关闭那些他们不理解的HTML5功能,而这可能带来安全问题。
“开发人员可以做的最重要的事情就是记住基本的安全原则,例如,所有用户输入都应视为不可信任的,”Eng表示,“他们应该学习新的HTML5功能的实际作用。”
