HTML5 Meningkatkan Masalah Keamanan Baru

Ketika datang ke keamanan baru masalah, tim keamanan untuk browser Firefox memiliki versi baru dari Web HyperText Markup Language, HTML5, yang paling utama di pikiran.

"Aplikasi web menjadi sangat kaya dengan HTML5. Browser mulai mengelola aplikasi penuh bore dan bukan hanya halaman web, "kata Sid Stamm, yang bekerja pada masalah keamanan Firefox untuk Mozilla Foundation. Stamm sedang berbicara di Simposium Keamanan Usenix, yang diadakan minggu lalu di Washington DC

"Ada banyak permukaan serangan yang perlu kita pikirkan," katanya.

Pada minggu yang sama Stamm menyatakan khawatir atas HTML5, pengembang browser Opera sibuk memperbaiki kerentanan buffer overflow yang dapat dieksploitasi menggunakan fitur rendering gambar kanvas HTML5.

Apakah tidak dapat dihindari bahwa kumpulan standar World Wide Web Consortium (W3C) baru untuk merender halaman Web, secara kolektif dikenal sebagai HTML5, datang dengan bundel baru kerentanan? Setidaknya beberapa peneliti keamanan berpikir ini adalah kasusnya.

"HTML5 membawa banyak fitur dan kekuatan ke Web. Anda dapat melakukan lebih banyak lagi [pekerjaan berbahaya] dengan HTML5 dan JavaScript biasa sekarang daripada yang pernah ada sebelumnya., "kata peneliti keamanan Lavakumar Kuppan.

W3C adalah" mengatur seluruh desain ulang ini atas gagasan bahwa kita akan mulai mengeksekusi aplikasi dalam browser, dan kami telah membuktikan selama bertahun-tahun bagaimana browser yang aman, "kata Kevin Johnson, penguji penetrasi dengan perusahaan konsultan keamanan, Secure Ideas. "Kita harus kembali untuk memahami browser adalah lingkungan yang berbahaya. Kami kehilangan situs itu."

Meskipun itu adalah nama spesifikasi sendiri, HTML5 juga sering digunakan untuk menggambarkan kumpulan kumpulan yang saling terkait. standar yang, diambil bersama-sama, dapat digunakan untuk membangun aplikasi web yang lengkap. Mereka menawarkan kemampuan seperti pemformatan halaman, penyimpanan data offline, rendisi gambar dan aspek lainnya. (Meskipun bukan spesifikasi W3C, JavaScript juga sering disamakan dalam standar ini, begitu banyak digunakan dalam membangun aplikasi Web).

Semua fungsi baru yang diusulkan ini mulai dieksplorasi oleh para peneliti keamanan.

Awal musim panas ini, Kuppan dan peneliti lain memposting cara untuk menyalahgunakan HTML5 Offline Aplikasi Cache. Google Chrome, Safari, Firefox dan beta browser Opera semuanya telah menerapkan fitur ini, dan akan rentan terhadap serangan yang menggunakan pendekatan ini, mereka mencatat.

Para peneliti berpendapat bahwa karena situs Web apa pun dapat membuat cache pada komputer pengguna, dan, di beberapa browser, melakukannya tanpa izin eksplisit pengguna itu, penyerang dapat membuat halaman log-masuk palsu ke situs seperti jejaring sosial atau situs e-commerce. Halaman palsu seperti itu kemudian dapat digunakan untuk mencuri kredensial pengguna.

Peneliti lain dibagi tentang nilai temuan ini.

"Ini adalah twist yang menarik tetapi tampaknya tidak menawarkan penyerang jaringan keuntungan tambahan apa pun di luar apa mereka sudah dapat mencapainya, "tulis Chris Evans di milis Pengungkapan Penuh. Evans adalah pencipta perangkat lunak Protokol Transfer File Sangat Aman (vsftp).

Dan Kaminsky, kepala ilmuwan dari firma riset keamanan Recursion Ventures, setuju bahwa pekerjaan ini merupakan kelanjutan dari serangan yang dikembangkan sebelum HTML5. "Browser tidak hanya meminta konten, merendernya, dan membuangnya. Mereka juga menyimpannya untuk digunakan nanti … Lavakumar mengamati bahwa teknologi caching generasi berikutnya menderita sifat yang sama ini," katanya, dalam sebuah wawancara e-mail..

Kritik sepakat bahwa serangan ini akan bergantung pada situs yang tidak menggunakan Secure Sockets Layer (SSL) untuk mengenkripsi data antara browser dan server halaman Web, yang biasa dipraktikkan. Tetapi bahkan jika pekerjaan ini tidak menemukan jenis kerentanan baru, itu menunjukkan bahwa kerentanan lama dapat digunakan kembali di lingkungan baru ini.

Johnson mengatakan bahwa, dengan HTML5, banyak fitur baru merupakan ancaman sendiri, karena cara mereka meningkatkan jumlah cara penyerang dapat memanfaatkan peramban pengguna untuk melakukan semacam bahaya.

"Selama bertahun-tahun, keamanan telah berfokus pada kerentanan - buffer overflows, serangan injeksi SQL. Kami menambalnya, kami memperbaikinya, kami memonitornya, "kata Johnson. Namun dalam kasus HTML5, seringkali fitur itu sendiri "yang dapat digunakan untuk menyerang kita," katanya.

Sebagai contoh, Johnson menunjuk ke Gmail Google, yang merupakan pengguna awal kemampuan penyimpanan lokal HTML5. Sebelum HTML5, penyerang mungkin harus mencuri cookie dari mesin dan men-decode mereka untuk mendapatkan kata sandi untuk layanan e-mail online. Sekarang, penyerang hanya perlu masuk ke peramban pengguna, tempat Gmail mengisahkan salinan kotak masuk.

"Rangkaian fitur ini menakutkan," katanya. "Jika saya dapat menemukan cacat dalam aplikasi Web Anda, dan menyuntikkan kode HTML5, saya dapat memodifikasi situs Anda dan menyembunyikan hal-hal yang tidak ingin Anda lihat."

Dengan penyimpanan lokal, penyerang dapat membaca data dari peramban Anda, atau masukkan data lain di sana tanpa sepengetahuan Anda. Dengan geolokasi, penyerang dapat menentukan lokasi Anda tanpa sepengetahuan Anda. Dengan versi baru Cascading Style Sheets (CSS), penyerang dapat mengontrol elemen apa dari halaman yang diperkuat CSS yang dapat Anda lihat. HTML5 WebSocket menyediakan tumpukan komunikasi jaringan ke browser, yang dapat disalahgunakan untuk komunikasi backdoor rahasia.

Ini bukan untuk mengatakan bahwa pembuat browser tidak menyadari masalah ini. Bahkan ketika mereka berupaya menambahkan dukungan untuk standar baru, mereka mencari cara untuk mencegah penyalahgunaannya. Pada simposium Usenix, Stamm mencatat beberapa teknik yang sedang dieksplorasi tim Firefox untuk mengurangi kerusakan yang dapat dilakukan dengan teknologi baru ini.

Misalnya, mereka bekerja pada platform plug-in alternatif, yang disebut JetPack, yang akan menjaga kontrol lebih ketat dari tindakan apa yang dapat dijalankan oleh plug-in. "Jika kami memiliki kontrol penuh terhadap [antarmuka pemrograman aplikasi], kami dapat mengatakan 'Pengaya ini meminta akses ke Paypal.com, akankah Anda mengizinkannya?'" "Kata Stamm.

JetPack juga dapat menggunakan model keamanan deklaratif, di mana plug-in harus menyatakan ke browser setiap tindakan yang ingin dilakukan. Browser kemudian akan memantau plug-in untuk memastikan tetap dalam parameter ini.

Namun, apakah pembuat browser dapat melakukan cukup untuk mengamankan HTML5 tetap harus dilihat, kritikus berpendapat.

"Perusahaan harus mulai mengevaluasi apakah ada baiknya fitur-fitur ini untuk meluncurkan peramban baru, "kata Johnson. "Ini adalah salah satu dari beberapa kali Anda mungkin mendengar 'Anda tahu, mungkin [Internet Explorer] 6 lebih baik.'"

Joab Jackson mencakup perangkat lunak perusahaan dan teknologi umum untuk berita The IDG News Service. Ikuti Joab di Twitter di @Joab_Jackson. Alamat e-mail Joab adalah [email protected]