Выходу новых веб-стандартов грозят многочисленные уязвимости

Выходу новых веб-стандартов грозят многочисленные уязвимости
В процессе создания некоторых новых веб-стандартов, в частности HTML5, есть очевидная вероятность появления угроз безопасности, об этом объявило агенство ENISA в своем докладе после проведения некоторого анализа.
Интернет сфера 152725 августа, 2011


По словам редактора агенства Джайлса Хогбена, в определенные спецификации в скором времени, по мере своей завершенности, станет невозможно вносить коррективы, это повлечет за собой серьезные проблемы связанные с безопасностью, поэтому стоит задуматься о ней до того как стандарты будут утверждены. Таким образом еще есть время защитится, пока идет процесс проектирования, так называемый security-by-design.

Анализу подлежали 13 стандартов, такие как World Wide Web Consortium (W3C)/HTML5, для средств связи – CORS, XHR, API, а также стандарты для геолокации и виджетов.

Большое внимание приделялось проблемам безопасности HTML5, поскольку его позиционируют как приоритетный стандарт разработки веб-сайтов в будущем.

Опасение вызывают вероятность отключения защиты от кликджекинга, недоработка в модуле валидации данных в формах, ну и ряд насущных изъянов, типа бесконтрольный доступ к конфиденциальным данным, неописанные функции, из-за которых могут возникать внезапные ошибки.

Советы ENISA направлены на повышение качества защиты стандартов в вопросах контроля доступа, системы разрешений и введения – т.е. permission awareness indicators.

Консорциум W3C не мог не согласится с мотивированными выводами ENISA и даже было принято решение о том, чтоб агенство консультировало все рабочие группы W3C по любым всплывающим вопросам.


Читайте также

Комментарии от Disqus