面對新的安全問題，火狐瀏覽器的安全團隊想到了使用新版本的網(wǎng)絡(luò)超文本標(biāo)記語言HTML5。

“HTML5的網(wǎng)絡(luò)應(yīng)用程序非常豐富，該瀏覽器正開始試圖管理十分繁雜的應(yīng)用程序，而不僅僅是網(wǎng)頁，”Mozilla安全問題專家Sid Stamm近日在華盛頓召開的Usenix安全專題討論會上表示。

“也就是說我們有一個很大的攻擊面需要考慮，”他說道，而同時他又表示了對HTML5的擔(dān)憂，Opera瀏覽器的開發(fā)人員正在積極修復(fù)一個緩沖區(qū)溢出漏洞，這個漏洞可能使用HTML5的畫布圖像渲染功能被利用。

萬維網(wǎng)聯(lián)盟（W3C）發(fā)布新一套渲染網(wǎng)頁標(biāo)準(zhǔn)（統(tǒng)稱為HTML5）不可避免地會帶來全新的安全漏洞嗎？至少有一部分安全研究人員正在考慮這個問題。

“HTML5為網(wǎng)絡(luò)世界帶來了很多功能和能量，黑客們現(xiàn)在可以更多地對HTML5和JavaScript發(fā)動惡意攻擊，甚至比以往任何時候都要容易，”安全研究人員Lavakumar Kuppan表示。

“W3C的重新設(shè)計是考慮到我們將開始在瀏覽器內(nèi)執(zhí)行應(yīng)用程序，多年以來，我們已經(jīng)見證了瀏覽器的安全性，”安全咨詢公司Secure Ideas滲透測試員Kevin Johnson表示，“我們必須回過頭來理解，瀏覽器是一種惡意環(huán)境。”

雖然按照慣例被命名為HTML5，HTML5也常用來形容相互關(guān)聯(lián)標(biāo)準(zhǔn)套的集合，這些標(biāo)準(zhǔn)聯(lián)合的話，可以用來構(gòu)建成熟的網(wǎng)絡(luò)應(yīng)用程序。它們提供的功能包括頁面格式化、離線數(shù)據(jù)存儲、圖像移交和其他功能。

所有這些新的功能將開始接受安全研究人員的研究。

在今年夏天，Kuppan和另一位安全研究人員公布了濫用HTML5離線應(yīng)用程序緩存的方法，谷歌Chrome、Safari、Firefox和Opera瀏覽器測試版都已經(jīng)部署了這個功能，并且都很容易被這種方法攻擊。

研究人員認(rèn)為，這是因為任何網(wǎng)站都可以在用戶的計算機上創(chuàng)建一個緩存，并且，在某些瀏覽器中，這種緩存創(chuàng)建根本沒有得到用戶的明確許可，攻擊者可以設(shè)置到一個網(wǎng)站的假的登錄頁面，例如社交網(wǎng)站或者電子商務(wù)網(wǎng)站，隨后這種假冒頁面可以被用來竊取用戶的登錄憑證信息。

其他研究人員則對這一發(fā)現(xiàn)的價值持不同意見。

“這是一個有趣的問題，但它似乎并沒有為網(wǎng)絡(luò)攻擊者提供比現(xiàn)在更多的額外利用價值，”Chris Evans表示，他是VSFTP軟件的創(chuàng)造者。

安全研究公司Recursion Ventures公司的首席研究人員Dan Kaminsky贊同這種說法，他認(rèn)為這種攻擊是對HTML5出現(xiàn)前的攻擊的延續(xù)�！盀g覽器并不只是請求內(nèi)容、渲染內(nèi)容并把內(nèi)容扔掉，瀏覽器還會存儲內(nèi)容以備日后使用，Lavakumar觀察到這個新一代緩存技術(shù)也將會有同樣的特點�！�

評論家一致認(rèn)為，這種攻擊將依賴于沒有使用SSL來加密瀏覽器和網(wǎng)頁服務(wù)器間的數(shù)據(jù)的網(wǎng)站，這種網(wǎng)站也很常見。但即使這種攻擊沒有發(fā)掘出新的漏洞類型，它也確實表明以前的漏洞在這種新環(huán)境中仍然可以被利用。

Johnson表示，對于HTML5，很多新功能都會對其自身的安全構(gòu)成威脅，因為這些新功能增加了攻擊者利用用戶的瀏覽器發(fā)動某種形式的攻擊的幾率。

“多年以來，安全問題都集中在漏洞緩沖區(qū)溢出和SQL注入攻擊上，我們必須修復(fù)這些漏洞，并且監(jiān)控這些漏洞，”Johnson表示。但是對于HTML5而言，通常是它本身的功能“可以用來攻擊我們”。

例如，Johnson指出谷歌的Gmail，這是HTML5本地存儲功能的早期使用者。在HTML5之前，攻擊者可能必須竊取計算機的cookies，然后進行解碼以獲取在線電子郵箱服務(wù)的密碼�，F(xiàn)在，攻擊者只需要獲取到用戶瀏覽器的信息就能發(fā)動攻擊，因為在瀏覽器中，Gmail存儲了收件箱的副本。

“這些功能集是很可怕的，”他表示，“如果我能夠在你的網(wǎng)絡(luò)應(yīng)用程序中找到一個漏洞，并且注入HTML5代碼，我就能修改你的網(wǎng)站并且隱藏我不想讓你看到的內(nèi)容�！�

對于本地存儲，攻擊者可以從你的瀏覽器讀取數(shù)據(jù)，或者在你不知情的情況下插入其他數(shù)據(jù)。對于地理位置，攻擊者可以在你不知情的情況下確定你的位置。對于新版本的CSS（層疊樣式表），攻擊者可以控制你能夠看見的CSS增強網(wǎng)頁的要素。HTML5的WebSocket向瀏覽器提供了一種網(wǎng)絡(luò)通信協(xié)議棧，這可以被濫用來秘密的后門通信。