警惕HTML5引发新的安全问题

　　对于HTML的新版本——HTML5，Firefox 浏览器的开发团队最担心的是它所带来的新的安全问题。

　　Firefox 团队的Sid Stamm近日在华盛顿举行的Usenix 安全研讨会上说，Web 应用程序能够因为HTML5 而变得极其丰富，但是由此而带来的安全隐患也值得注意。Opera 浏览器的开发人员也表示，他们正在修复缓冲区溢出漏洞，因为一旦浏览器使用HTML5 画布的图像渲染功能，就有可能被居心叵测的人钻空子。

　　有安全研究人士表示，HTML5 大大丰富了Web 的特性和功能，同时也带来了不少安全隐患，现在黑客可以对普通的HTML5 和JavaScript 做大量的恶意行为，而以前这方面的安全隐患并没这么多。”

　　就在2010 年夏天， 已经有安全研究人员公布了滥用HTML5 离线应用缓存（HTML5Offline Application Cache） 的一种方法。他们指出， 谷歌Chrome、苹果Safari、Firefox和测试版Opera 浏览器都已经采用了这项功能，因此很容易遭到采用这种方法的攻击。

　　这些研究人员认为，由于任何网站都能在用户的计算机上建立缓存，而有些浏览器甚至在未经用户明确同意的情况下就会建立缓存，所以攻击者就可以制作假冒的登录网页，仿冒社交网站或电子商务网站，随后，这些假冒网页就可能被用来窃取用户的证书。不过也有信息安全研究人员表示，在HMTL5 问世之前，就已经出现过这样的攻击方式。

　　这种攻击将会发生在那些不使用安全套接层（SSL）对浏览器与网页服务器之间的数据进行加密的网站上，现实中有大批的网站不用SSL 来加密。另外一方面，HTML5 还为某些攻击行为增加了利用用户的浏览器漏洞的途径。

　　有一些免费的Web 邮件服务很早就采用了HTML5 的本地存储功能。在HTML5 问世之前，攻击者可能不得不窃取电脑上的cookie，破解之后才能获得在线电子邮件服务的密码。而现在，攻击者只要能进入用户的浏览器就行，因为这些Web邮箱把收件箱的副本存储在浏览器中。借助本地存储功能，攻击者就能在使用者不知情的情况下，读取来自浏览器的数据，或者把其他数据植入到浏览器中。借助地理位置功能，攻击者就能在用户不知情的情况下确定用户的位置。借助新版本的层叠样式表（CSS），攻击者就能控制用户在CSS 增强的网页上可以看到哪些元素。

　　HTML5 WebSocket 为浏览器提供了网络通信堆栈，很可能有人就会滥用这项特性，偷偷摸摸地进行后门通信。

　　Firefox 的团队正在研究大量采用HTML5 技术，如何减小可能造成的破坏。他们正在开发一种替代的插件平台JetPack，有望对插件所能执行的动作实行更严格的控制。JetPack 还可能会使用一种声明安全模式，在这种模式中，插件必须向浏览器声明它打算执行的每一个动作；然后，浏览器会监控插件，确保它保持在允许范围内。