Ovo su sigurno tužne vijesti za napadače na kompanije – u zadnjih nekoliko godina Flash je bio popularna meta za hakere. Prema istraživanju sigurnosti tvrtke WhiteHat Security Inc., slabe točke vezane za Flash-Player iznosile su približno 14% svih ranjivosti web aplikacija koje su otkrivene.
Je li nestanak Flasha dobra vijest za sigurnost weba? Hoće li HTML5 zamijeniti Flash, i ako ga zamijeni, kako će sigurnost HTML5 usporediti s Flashom? I kako bi se sigurnosne prednosti trebale pripremiti za primjenu HTML5 web sadržaja?
HTML5 uživa podršku najvećih igrača na Internetu uključujući Facebook, Google i PayPal. Zapravo, na putu je da postane budući standard za Internet video i trebao bi zamijeniti nestandardne formate, kao što je Flash i Microsoftov Silverlight. Flash je binarni format za multimedijalni sadržaj koji koristi objektno orijentirani developerski jezik ActionScript i zahtijeva Adobe plug-in. HTML5 u drugu ruku je open source markup jezik koji ne zahtijeva plug-in da bi pokretao aplikacije.
Uklanjanjem potrebe za proprietary plug-inovima kako bi se vrtjeli videi zasigurno zatvara zajednički napadački vektor, i zato što su HTML5 zakrpe isporučuju preko zakrpa preglednika, puno je vjerojatnije za će se primjenjivati nego zakrpe za plug-inove. Međutim, HTML5 osigurava pristup računalnom sadržaju, kao što je local data storage, što potencijalno otvara nove mogućnosti za cyber kriminalce.
Glavni problem oko HTML5 je što developeri žure s njegovom inkorporacijom u web stranice tvrtki bez da nađu vremena kako bi bolje razumjeli njegove nove značajke i kako ih sigurno implementirati. Na primjer, cross-origin resource sharing (CORS) dozvoljava web serveru da dopusti svojim resursima da im pristupi web stranica s druge domene. CORS pušta tzv. the Same Origin Rule, koji je jedan od fundamentalnih sigurnosnih kontrola ugrađenih u web preglednike. Osim ako developeri znaju kako CORS funkcionira, mogu lako napraviti pogrešne pretpostavke i dozvoliti hakerima pristup sadržaju koji ne bi trebao biti dijeljen.
Isto je točno i za HTML5 cross-document messaging – sigurno je dok se pravilno koristi, no ako developeri ne provjere da poruke dolaze s njihovih sajtova, zlonamjerni kod s drugih sajtova može iskarikirati loše poruke.
To je osnovno pravilo u sigurnosti da se podaci s preglednika smatraju nepovjerljivima i moraju biti potvrđeni. Procesi potvrđivanja i filteri trebaju se pregledavati tijekom razvoja web aplikacije jer novi HTML5 elementi i atributi mogu uzrokovati neočekivane rezultate. Whitelisting-based filteri ugrađeni u aplikacije trebali bi se pokazati otpornijima.
Tjeranje tehnologije van originalne namjene može voditi i drugim greškama. HTML5 je asinkrona tehnologija, ali developeri koriste JavaScript da bi izgledala kao sinkrona. Kada transakcija zahtjeva odgovor prije nego što se može pomaknuti na sljedeći nivo, poslovna logika kontrola trebala bi biti provjerena kako bi osigurala da se procesi kao što su transakcija baze podataka može pojaviti u pravilnom redu.
HTML5 znači za developere da mogu inkorporirati multimediju u svoje sajtove koristeći otvoreni standard. To je puno bolja situacija od korištenja asortimana plug-inova neke treće strane. Dok god developeri pronalaze vrijeme za učenje kako koristiti HTML5 značajke na siguran način, industrija sigurnosti na webu može se nadati sigurnijem Internetu, iako povijest pokazuje da je to neizvjesno kao i potpuno gašenje Flash standarda. Podsjetimo se - pojavom televizora najavili su gašenje radija. Vjerojatnija budućnost bit će samo kompleksnija. Za web-developere - nešto sasvim uobičajeno.
