एचटीएमएल 5 नए सुरक्षा मुद्दों को बढ़ाता है

जब नई सुरक्षा की बात आती है मुद्दों, फ़ायरफ़ॉक्स ब्राउज़र के लिए सुरक्षा टीम के पास वेब पर हाइपरटेक्स्ट मार्कअप भाषा, एचटीएमएल 5 का नया संस्करण है।

"वेब ऐप्स एचटीएमएल 5 के साथ अविश्वसनीय रूप से समृद्ध हो रहे हैं। ब्राउज़र पूर्ण-बोर अनुप्रयोगों का प्रबंधन शुरू कर रहा है और सिर्फ वेब पेज नहीं, "सिड स्टैम ने कहा, जो मोज़िला फाउंडेशन के लिए फ़ायरफ़ॉक्स सुरक्षा मुद्दों पर काम करता है। उन्होंने कहा कि स्टैम वाशिंगटन डीसी में पिछले हफ्ते आयोजित यूएसनिक्स सिक्योरिटी संगोष्ठी में बात कर रहे थे

"हमले की बहुत सी सतह है जिसके बारे में हमें सोचना चाहिए।"

उसी सप्ताह स्टैम ने एचटीएमएल 5, डेवलपर्स पर चिंता व्यक्त की ओपेरा ब्राउज़र एक बफर ओवरफ्लो भेद्यता को ठीक करने में व्यस्त था जिसे एचटीएमएल 5 कैनवास छवि-प्रतिपादन सुविधा का उपयोग करके शोषित किया जा सकता था।

क्या यह अनिवार्य है कि वर्ल्ड वाइड वेब कंसोर्टियम (डब्ल्यू 3 सी) वेब पेजों को प्रस्तुत करने के मानकों के नए सेट को सामूहिक रूप से जाना जाता है एचटीएमएल 5 के रूप में, भेद्यता के एक पूरे नए बंडल के साथ आते हैं? कम से कम कुछ सुरक्षा शोधकर्ता यह सोच रहे हैं कि यह मामला है।

"एचटीएमएल 5 वेब पर बहुत सी फीचर्स और पावर लाता है। आप सादे एचटीएमएल 5 और जावास्क्रिप्ट के साथ इतना अधिक [दुर्भावनापूर्ण काम] कर सकते हैं इससे पहले कि यह पहले कभी संभव था "सुरक्षा शोधकर्ता Lavakumar Kuppan ने कहा।

डब्ल्यू 3 सी इस विचार पर इस पूरे रीडिज़ाइन को गियर कर रहा है कि हम ब्राउज़र के भीतर अनुप्रयोगों को निष्पादित करना शुरू कर देंगे, और हमने वर्षों से साबित कर दिया है कि ब्राउज़र कितने सुरक्षित हैं," केविन जॉनसन ने कहा, सुरक्षा परामर्श फर्म सुरक्षित विचारों के साथ एक प्रवेश परीक्षक। "हमें यह समझने के लिए वापस जाना होगा कि ब्राउजर एक दुर्भावनापूर्ण माहौल है। हमने उस साइट को खो दिया है।"

हालांकि यह अपने आप पर एक विनिर्देश का नाम है, एचटीएमएल 5 का प्रयोग अक्सर ढीले अंतःसंबंधित सेट के संग्रह का वर्णन करने के लिए किया जाता है। मानकों के साथ, जो एक साथ लिया जाता है, का उपयोग पूर्ण वेब अनुप्रयोगों के निर्माण के लिए किया जा सकता है। वे पृष्ठ स्वरूपण, ऑफ़लाइन डेटा संग्रहण, छवि प्रतिपादन और अन्य पहलुओं जैसी क्षमताओं की पेशकश करते हैं। (हालांकि डब्लू 3 सी स्पेक नहीं है, जावास्क्रिप्ट को इन मानकों में भी अक्सर लुप्त किया जाता है, इसलिए व्यापक रूप से इसका उपयोग वेब अनुप्रयोगों के निर्माण में किया जाता है)।

सुरक्षा अनुसंधानकर्ताओं द्वारा इस नई प्रस्तावित कार्यक्षमता की खोज शुरू हो रही है।

इस गर्मी की शुरुआत में, कुपन और एक अन्य शोधकर्ता ने एचटीएमएल 5 ऑफ़लाइन एप्लिकेशन कैश का दुरुपयोग करने का एक तरीका पोस्ट किया। Google क्रोम, सफारी, फ़ायरफ़ॉक्स और ओपेरा ब्राउज़र के बीटा ने पहले से ही इस सुविधा को लागू किया है, और इस दृष्टिकोण का उपयोग करने वाले हमलों के प्रति संवेदनशील होंगे।

शोधकर्ताओं का तर्क है कि क्योंकि कोई भी वेबसाइट एक कैश बना सकती है उपयोगकर्ता का कंप्यूटर, और, कुछ ब्राउज़रों में, उस उपयोगकर्ता की स्पष्ट अनुमति के बिना ऐसा करते हैं, एक हमलावर सोशल नेटवर्किंग या ई-कॉमर्स साइट जैसी साइट पर नकली लॉग-इन पेज सेट कर सकता है। इस तरह के एक नकली पृष्ठ का उपयोग उपयोगकर्ता के प्रमाण-पत्रों को चुरा लेने के लिए किया जा सकता था।

अन्य शोधकर्ताओं को इस खोज के मूल्य के बारे में विभाजित किया गया था।

"यह एक दिलचस्प मोड़ है लेकिन ऐसा लगता है कि नेटवर्क हमलावरों को इससे कोई अतिरिक्त लाभ नहीं मिलता है वे पूरी तरह से प्राप्त कर सकते हैं, "क्रिस इवांस ने पूर्ण प्रकटीकरण मेलिंग सूची पर लिखा था। इवांस बहुत सुरक्षित फ़ाइल ट्रांसफर प्रोटोकॉल (बनाम) सॉफ्टवेयर का निर्माता है।

सुरक्षा अनुसंधान फर्म रिकर्सन वेंचर्स के मुख्य वैज्ञानिक डैन कामिंस्की ने सहमति व्यक्त की कि यह काम HTML5 से पहले विकसित हमलों की निरंतरता है। उन्होंने कहा, "ब्राउजर सिर्फ सामग्री का अनुरोध नहीं करते हैं, इसे प्रस्तुत करते हैं, और इसे फेंक देते हैं। वे इसे बाद में उपयोग के लिए भी स्टोर करते हैं … Lavakumar देख रहा है कि अगली पीढ़ी के कैशिंग प्रौद्योगिकियों को इसी तरह की विशेषता है," उन्होंने कहा, एक ई-मेल साक्षात्कार में

आलोचकों ने सहमति व्यक्त की कि यह हमला ब्राउज़र और वेब पेज सर्वर के बीच डेटा एन्क्रिप्ट करने के लिए सिक्योर सॉकेट लेयर (एसएसएल) का उपयोग न करने वाली साइट पर भरोसा करेगा, जिसका आमतौर पर अभ्यास किया जाता है। लेकिन अगर इस काम ने एक नई प्रकार की भेद्यता का पता नहीं लगाया, तो यह दिखाता है कि इस नए पर्यावरण में पुरानी भेद्यता का पुन: उपयोग किया जा सकता है।

जॉनसन का कहना है कि, एचटीएमएल 5 के साथ, कई नई विशेषताएं अपने आप पर खतरे का निर्माण करती हैं, इस वजह से वे किसी प्रकार के नुकसान के लिए उपयोगकर्ता के ब्राउज़र का उपयोग करने के तरीकों की संख्या को कैसे बढ़ा सकते हैं।

"सालों से सुरक्षा के लिए ध्यान केंद्रित किया गया है भेद्यता पर - बफर ओवरफ्लो, एसक्यूएल इंजेक्शन हमले। हम उन्हें पैच करते हैं, हम उन्हें ठीक करते हैं, हम उनकी निगरानी करते हैं, "जॉनसन ने कहा। लेकिन एचटीएमएल 5 के मामले में, यह अक्सर खुद की विशेषताएं होती है "जिसका इस्तेमाल हम पर हमला करने के लिए किया जा सकता है।" 99

उदाहरण के तौर पर, जॉनसन Google के जीमेल को इंगित करता है, जो एचटीएमएल 5 की स्थानीय स्टोरेज क्षमताओं का प्रारंभिक उपयोगकर्ता है। एचटीएमएल 5 से पहले, एक हमलावर को मशीन से कुकीज़ चुरा लेनी पड़ सकती थी और उन्हें ऑनलाइन ई-मेल सेवा के लिए पासवर्ड प्राप्त करने के लिए डीकोड करना पड़ सकता था। अब, हमलावर को केवल उपयोगकर्ता के ब्राउज़र में प्रवेश प्राप्त करने की आवश्यकता है, जहां जीमेल इनबॉक्स की एक प्रतिलिपि कहता है।

"ये फीचर सेट डरावनी हैं," उन्होंने कहा। "अगर मुझे आपके वेब एप्लिकेशन में कोई दोष मिल सकता है, और एचटीएमएल 5 कोड इंजेक्ट कर सकता है, तो मैं आपकी साइट को संशोधित कर सकता हूं और उन चीज़ों को छुपा सकता हूं जिन्हें मैं नहीं देखना चाहता हूं।"

स्थानीय स्टोरेज के साथ, हमलावर आपके ब्राउज़र से डेटा पढ़ सकता है, या अपने ज्ञान के बिना वहां अन्य डेटा डालें। भौगोलिक स्थान के साथ, हमलावर आपके ज्ञान के बिना आपका स्थान निर्धारित कर सकता है। कैस्केडिंग स्टाइल शीट्स (सीएसएस) के नए संस्करण के साथ, हमलावर एक सीएसएस-वर्धित पृष्ठ के तत्वों को नियंत्रित कर सकता है जो आप देख सकते हैं। एचटीएमएल 5 वेबसॉकेट ब्राउजर को नेटवर्क संचार स्टैक की आपूर्ति करता है, जिसका अपमानजनक बैकडोर संचार के लिए दुरुपयोग किया जा सकता है।

यह कहना नहीं है कि ब्राउज़र निर्माता इस मुद्दे से अनजान हैं। भले ही वे नए मानकों के समर्थन में जोड़ने के लिए काम करते हैं, वे अपने दुरुपयोग को रोकने के तरीकों को देख रहे हैं। यूज़ेनिक्स संगोष्ठी में, स्टैम ने कुछ तकनीकों का उल्लेख किया कि फ़ायरफ़ॉक्स टीम इन नई प्रौद्योगिकियों के साथ किए जा सकने वाले नुकसान को कम करने के लिए खोज कर रही है।

उदाहरण के लिए, वे जेटपैक नामक वैकल्पिक प्लग-इन प्लेटफॉर्म पर काम कर रहे हैं, प्लग-इन निष्पादित करने वाले कार्यों के कड़े नियंत्रण को बनाए रखेगा। "अगर हमारे पास [एप्लिकेशन प्रोग्रामिंग इंटरफ़ेस] का पूर्ण नियंत्रण है, तो हम कह सकते हैं कि 'यह ऐड-ऑन Paypal.com तक पहुंच का अनुरोध कर रहा है, क्या आप इसे अनुमति देंगे?' 'स्टैम ने कहा।

जेटपैक भी उपयोग कर सकता है एक घोषणात्मक सुरक्षा मॉडल, जिसमें प्लग-इन को ब्राउज़र को प्रत्येक क्रिया को घोषित करना होगा। ब्राउज़र तब प्लग-इन की निगरानी करेगा ताकि यह सुनिश्चित किया जा सके कि यह इन पैरामीटरों में रहता है।

फिर भी, क्या ब्राउज़र निर्माता एचटीएमएल 5 को सुरक्षित रखने के लिए पर्याप्त कर सकते हैं, आलोचकों का तर्क है।

"उद्यम को मूल्यांकन करना शुरू करना है या नहीं जॉनसन ने कहा, "नए ब्राउज़र को चलाने के लिए इन सुविधाओं के लायक है।" "यह कुछ बार आप सुन सकते हैं 'आप जानते हैं, शायद [इंटरनेट एक्सप्लोरर] 6 बेहतर था।'"

जोब जैक्सन ने एंटरप्राइज़ सॉफ्टवेयर और सामान्य तकनीक को तोड़ने के लिए आईडीजी समाचार सेवा । @Joab_Jackson पर ट्विटर पर Joab का पालन करें। Joab का ई-मेल पता [email protected]