ENISA выделила 50 угроз безопасности в новых веб-стандартах
05.08.2011
Выпуском исследования по безопасности, которое описывает 50 угроз в таких стандартах, как HTML5, Агентство европейской безопасности ENISA предупреждает, что, возможно, потребуется переписывать многие только что созданные веб-стандарты.
"Доклад "Анализ безопасности следующего поколения веб-стандартов" создавался агентством в то время, когда многие стандарты были еще не завершены", - объяснил редактор Джайлс Хогбен. "Сейчас многие из этих спецификаций достигают точки необратимости и изменения в них вносить будет уже поздно. Но у нас еще есть возможность серьёзно задуматься о безопасности, прежде чем окончательно утвердить стандарт, а не пытаться латать его после", - сказал он.
"Это уникальная возможность создать защиту на стадии проектирования (security-by-design)".
В докладе анализируются 13 стандартов World Wide Web Consortium (W3C), включая HTML5, предназначенные для интерфейсов связи, такие как CORS и XHR, API устройств, в том числе геолокации и виджетов.
Вызывает обеспокоенность тот факт, что в документе отмечен ряд проблем, связанных с HTML5, который в настоящее время продвигается крупными вендорами и будет являться стандартом для создания веб-страниц на много лет вперед.
К проблемам относятся возможность отключения защиты от кликджекинга, проблемы с валидацией данныхв формах. Другие распространенные проблемы безопасности: незащищенный доступ к конфиденциальной информации и неописанные функции, которые, как предупредила ENISA, могут привести к ошибкам.
Рекомендации ENISA по улучшению безопасности в стандартах включают в себя повышение контроля доступа, ужесточение системы разрешений и введение "permission awareness indicators".
Консорциум W3C поддержал исследование и предложил ENISA сообщать о любых вопросах соответствующим рабочим группам W3C.
