HTML5 soulève de nouveaux problèmes de sécurité

En matière de sécurité Problèmes, l'équipe de sécurité du navigateur Firefox utilise avant tout la nouvelle version du Web HyperText Markup Language, HTML5

"Les applications Web deviennent incroyablement riches avec HTML5. et pas seulement les pages Web », a déclaré Sid Stamm, qui travaille sur les problèmes de sécurité de Firefox pour la fondation Mozilla. Stamm s'exprimait lors du Symposium Usenix sur la sécurité, tenu la semaine dernière à Washington DC

"Il y a beaucoup de surface d'attaque à laquelle nous devons penser", a-t-il dit.

Sur la même semaine du navigateur Opera était occupé à corriger une vulnérabilité de débordement de tampon qui pourrait être exploitée en utilisant la fonction de rendu d'image de canvas HTML5.

Est-il inévitable que le nouveau standard du World Wide Web Consortium (W3C) comme HTML5, venez avec un ensemble de nouvelles vulnérabilités? Au moins certains chercheurs en sécurité pensent que c'est le cas. «Le HTML5 apporte beaucoup de fonctionnalités et de puissance sur le Web Vous pouvez faire bien plus de [travail malveillant] avec HTML5 et JavaScript que jamais auparavant », a déclaré le chercheur en sécurité Lavakumar Kuppan.

Le W3C« oriente cette refonte complète sur l'idée que nous allons commencer à exécuter des applications dans le navigateur, et nous avons prouvé au fil des ans la sécurité des navigateurs », a déclaré Kevin Johnson. un testeur de pénétration avec la société de conseil en sécurité Secure Ideas. "Nous devons revenir à la compréhension du navigateur est un environnement malveillant.Nous avons perdu le site de cela."

Bien que ce soit le nom d'une spécification de son propre chef, HTML5 est également souvent utilisé pour décrire une collection d'ensembles lâchement interdépendants des normes qui, prises ensemble, peuvent être utilisées pour créer des applications Web à part entière. Ils offrent des fonctionnalités telles que le formatage de page, le stockage de données hors ligne, le rendu d'image et d'autres aspects. (Bien qu'il ne s'agisse pas d'une spécification W3C, JavaScript est également fréquemment inclus dans ces standards, si largement utilisé dans la création d'applications Web.

Toutes les nouvelles fonctionnalités proposées commencent à être explorées par les chercheurs en sécurité.

Plus tôt cet été, Kuppan et un autre chercheur ont publié un moyen d'abuser du cache des applications HTML5 hors-ligne. Google Chrome, Safari, Firefox et la version bêta du navigateur Opera ont tous déjà implémenté cette fonctionnalité, et ils seraient vulnérables aux attaques qui utilisent cette approche, notent-ils.

Les chercheurs soutiennent que tout site Web peut créer un cache sur l'ordinateur de l'utilisateur, et, dans certains navigateurs, le font sans l'autorisation explicite de cet utilisateur, un attaquant pourrait mettre en place une fausse page de connexion à un site tel qu'un site de réseau social ou de commerce électronique.

D'autres chercheurs se sont divisés sur la valeur de cette découverte

"C'est une torsion intéressante, mais cela ne semble pas offrir aux attaquants du réseau un avantage supplémentaire au-delà de ce que ils peuvent déjà réaliser ", a écrit Chris Evans sur la liste de diffusion Full Disclosure. Evans est le créateur du logiciel de transfert de fichiers très sécurisé (vsftp)

Dan Kaminsky, scientifique en chef de la firme de recherche en sécurité Recursion Ventures, a convenu que ce travail est une continuation des attaques développées avant HTML5. «Les navigateurs ne demandent pas seulement du contenu, le rendent et le jettent, ils le stockent également pour un usage ultérieur … Lavakumar observe que les technologies de cache de nouvelle génération souffrent de ce même trait», a-t-il déclaré dans une interview par e-mail.

Les critiques ont convenu que cette attaque reposerait sur un site n'utilisant pas Secure Sockets Layer (SSL) pour crypter les données entre le navigateur et le serveur de pages Web, ce qui est couramment pratiqué. Mais même si ce travail n'a pas mis au jour un nouveau type de vulnérabilité, il montre qu'une ancienne vulnérabilité peut être réutilisée dans ce nouvel environnement.

Selon Johnson, avec HTML5, la plupart des nouvelles fonctionnalités constituent des menaces en elles-mêmes, car elles augmentent le nombre de façons dont un attaquant pourrait exploiter le navigateur de l'utilisateur pour lui nuire.

sur les vulnérabilités - débordements de mémoire tampon, attaques par injection SQL, nous les corrigeons, nous les réparons, nous les surveillons », a déclaré Johnson. Mais dans le cas de HTML5, ce sont souvent les fonctionnalités elles-mêmes «qui peuvent nous servir à nous attaquer», dit-il.

À titre d'exemple, Johnson pointe sur Gmail de Google, un des premiers utilisateurs des capacités de stockage local de HTML5. Avant HTML5, un attaquant pouvait être amené à voler des cookies sur une machine et à les décoder pour obtenir le mot de passe d'un service de messagerie en ligne. Maintenant, l'attaquant n'a besoin que d'entrer dans le navigateur de l'utilisateur, où Gmail raconte une copie de la boîte de réception.

"Ces fonctionnalités sont effrayantes", a-t-il déclaré. "Si je peux trouver une faille dans votre application Web et injecter du code HTML5, je peux modifier votre site et cacher des choses que vous ne voulez pas voir."

Avec le stockage local, un attaquant peut lire les données de votre navigateur ou insérez d'autres données à votre insu. Avec la géolocalisation, un attaquant peut déterminer votre position à votre insu. Avec la nouvelle version de Cascading Style Sheets (CSS), un attaquant peut contrôler quels éléments d'une page CSS-enhanced vous pouvez voir. HTML5 WebSocket fournit une pile de communication réseau au navigateur, ce qui peut être mal utilisé pour des communications secrètes de porte dérobée

Cela ne veut pas dire que les fabricants de navigateurs ne sont pas conscients de ce problème. Même s'ils s'efforcent d'appuyer les nouvelles normes, ils cherchent des moyens de prévenir leur utilisation abusive. Lors du symposium Usenix, Stamm a noté certaines des techniques que l'équipe de Firefox explore pour atténuer les dommages qui pourraient être causés par ces nouvelles technologies.

Par exemple, ils travaillent sur une plateforme de plug-in alternative, appelée JetPack, qui permettrait de mieux contrôler les actions qu'un plug-in pourrait exécuter. "Si nous avons le contrôle complet de [l'interface de programmation de l'application], nous sommes en mesure de dire 'Ce module complémentaire demande l'accès à Paypal.com, l'autoriseriez-vous?'" Stamm a déclaré.

JetPack peut également utiliser un modèle de sécurité déclaratif, dans lequel le plug-in doit déclarer au navigateur chaque action qu'il a l'intention d'entreprendre. Le navigateur surveillera alors le plug-in pour s'assurer qu'il reste dans ces paramètres.

Reste à savoir si les constructeurs de navigateurs peuvent en faire assez pour sécuriser le HTML5, estiment les critiques.

"L'entreprise doit commencer à évaluer si cela vaut la peine de déployer ces nouveaux navigateurs », a déclaré Johnson. "C'est l'une des rares fois où vous pouvez entendre" Vous savez, peut-être que [Internet Explorer] 6 était meilleur. "

Joab Jackson couvre les logiciels d'entreprise et les nouvelles générales pour

The IDG News Service. Suivez Joab sur Twitter à @Joab_Jackson. L'adresse e-mail de Joab est [email protected]