popularne komentowane nowości

popularne

Najczęściej czytane

Jak skutecznie chronić się przed DDoS? (czytane 1240 razy)
Na co zwrócić uwagę przy wdrożeniu IPS i DLP? (czytane 279 razy)
Krajowe Ramy Interoperacyjności opublikowane (czytane 40 razy)

więcej...

Biblioteka Wiedzy poleca

Zautomatyzowane testy bezpieczeństwa w Polkomtel S.A.

Utrzymanie wysokiego poziomu bezpieczeństwa aplikacji stanowi dziś duże wyzwanie. Dane w postaci elektronicznej stanowią cenne zasoby przedsiębiorstw...
pobierz »

Jak sprawdzić zabezpieczenia?

Najczęściej stosowanym testem penetracyjnym jest symulowanie ataku z zewnątrz, przez sieć Internet. Pierwszym zadaniem jest rozpoznanie sieci...
pobierz »

Więcej bezpłatnych raportów w serwisie

powiększ tekst

AKTUALNOŚCI

Czy HTML5 zagrozi naszemu bezpieczeństwu

11 lutego 2011

Paweł Krawczyk

Choć specyfikacja HTML5 nie jest jeszcze oficjalnie gotowa, nie należy myśleć o bezpieczeństwie tej technologii w czasie przyszłym. HTML5 jest tu od dawna, a z każdą nową wersją popularnych przeglądarek nasze aplikacje webowe mogą stawać się potencjalnie coraz bezpieczniejsze - lub coraz bardziej dziurawe.

Z punktu widzenia zarządzania bezpieczeństwem problem z HTML5 polega głównie na tym, że przejście na nowy standard zarówno po stronie użytkowników jak i autorów aplikacji ma charakter "pełzający". Specyfikacja HTML5 - formalnie nadal w trakcie opracowywania - jest traktowana obie strony jako otwarty katalog rozmaitych technologii, a te atrakcyjniejsze są implementowane po prostu wtedy, kiedy ich specyfikacja w miarę okrzepnie.

Tymczasem każdy nowy atrybut, tag czy styl wprowadzany przez HTML5 oznacza zmianę subtelną zachowania przeglądarki. Oznacza to niestety w praktyce, że techniki obrony, które były skuteczne dotychczas mogą stać się bezużyteczne. W szczególności dotyczy to autorów aplikacji, którzy stosują filtrowanie kodu HTML oparte o listy "niebezpiecznych" tagów. Jeśli dotychczas wystarczało blokowanie określonej grupy tagów (np.