面對(duì)新的安全問題，火狐瀏覽器的安全團(tuán)隊(duì)想到了使用新版本的網(wǎng)絡(luò)超文本標(biāo)記語(yǔ)言HTML5。

“HTML5的網(wǎng)絡(luò)應(yīng)用程序非常豐富，該瀏覽器正開始試圖管理十分繁雜的應(yīng)用程序，而不僅僅是網(wǎng)頁(yè)，”Mozilla安全問題專家Sid Stamm近日在華盛頓召開的Usenix安全專題討論會(huì)上表示。

“也就是說我們有一個(gè)很大的攻擊面需要考慮，”他說道，而同時(shí)他又表示了對(duì)HTML5的擔(dān)憂，Opera瀏覽器的開發(fā)人員正在積極修復(fù)一個(gè)緩沖區(qū)溢出漏洞，這個(gè)漏洞可能使用HTML5的畫布圖像渲染功能被利用。

萬(wàn)維網(wǎng)聯(lián)盟（W3C）發(fā)布新一套渲染網(wǎng)頁(yè)標(biāo)準(zhǔn)（統(tǒng)稱為HTML5）不可避免地會(huì)帶來(lái)全新的安全漏洞嗎？至少有一部分安全研究人員正在考慮這個(gè)問題。

“HTML5為網(wǎng)絡(luò)世界帶來(lái)了很多功能和能量，黑客們現(xiàn)在可以更多地對(duì)HTML5和JavaScript發(fā)動(dòng)惡意攻擊，甚至比以往任何時(shí)候都要容易，”安全研究人員Lavakumar Kuppan表示。

“W3C的重新設(shè)計(jì)是考慮到我們將開始在瀏覽器內(nèi)執(zhí)行應(yīng)用程序，多年以來(lái)，我們已經(jīng)見證了瀏覽器的安全性，”安全咨詢公司Secure Ideas滲透測(cè)試員Kevin Johnson表示，“我們必須回過頭來(lái)理解，瀏覽器是一種惡意環(huán)境。”

雖然按照慣例被命名為HTML5，HTML5也常用來(lái)形容相互關(guān)聯(lián)標(biāo)準(zhǔn)套的集合，這些標(biāo)準(zhǔn)聯(lián)合的話，可以用來(lái)構(gòu)建成熟的網(wǎng)絡(luò)應(yīng)用程序。它們提供的功能包括頁(yè)面格式化、離線數(shù)據(jù)存儲(chǔ)、圖像移交和其他功能。

所有這些新的功能將開始接受安全研究人員的研究。

在今年夏天，Kuppan和另一位安全研究人員公布了濫用HTML5離線應(yīng)用程序緩存的方法，谷歌Chrome、Safari、Firefox和Opera瀏覽器測(cè)試版都已經(jīng)部署了這個(gè)功能，并且都很容易被這種方法攻擊。

研究人員認(rèn)為，這是因?yàn)槿魏尉W(wǎng)站都可以在用戶的計(jì)算機(jī)上創(chuàng)建一個(gè)緩存，并且，在某些瀏覽器中，這種緩存創(chuàng)建根本沒有得到用戶的明確許可，攻擊者可以設(shè)置到一個(gè)網(wǎng)站的假的登錄頁(yè)面，例如社交網(wǎng)站或者電子商務(wù)網(wǎng)站，隨后這種假冒頁(yè)面可以被用來(lái)竊取用戶的登錄憑證信息。

其他研究人員則對(duì)這一發(fā)現(xiàn)的價(jià)值持不同意見。

“這是一個(gè)有趣的問題，但它似乎并沒有為網(wǎng)絡(luò)攻擊者提供比現(xiàn)在更多的額外利用價(jià)值，”Chris Evans表示，他是VSFTP軟件的創(chuàng)造者。

安全研究公司Recursion Ventures公司的首席研究人員Dan Kaminsky贊同這種說法，他認(rèn)為這種攻擊是對(duì)HTML5出現(xiàn)前的攻擊的延續(xù)�！盀g覽器并不只是請(qǐng)求內(nèi)容、渲染內(nèi)容并把內(nèi)容扔掉，瀏覽器還會(huì)存儲(chǔ)內(nèi)容以備日后使用，Lavakumar觀察到這個(gè)新一代緩存技術(shù)也將會(huì)有同樣的特點(diǎn)�！�

評(píng)論家一致認(rèn)為，這種攻擊將依賴于沒有使用SSL來(lái)加密瀏覽器和網(wǎng)頁(yè)服務(wù)器間的數(shù)據(jù)的網(wǎng)站，這種網(wǎng)站也很常見。但即使這種攻擊沒有發(fā)掘出新的漏洞類型，它也確實(shí)表明以前的漏洞在這種新環(huán)境中仍然可以被利用。

Johnson表示，對(duì)于HTML5，很多新功能都會(huì)對(duì)其自身的安全構(gòu)成威脅，因?yàn)檫@些新功能增加了攻擊者利用用戶的瀏覽器發(fā)動(dòng)某種形式的攻擊的幾率。

“多年以來(lái)，安全問題都集中在漏洞緩沖區(qū)溢出和SQL注入攻擊上，我們必須修復(fù)這些漏洞，并且監(jiān)控這些漏洞，”Johnson表示。但是對(duì)于HTML5而言，通常是它本身的功能“可以用來(lái)攻擊我們”。

例如，Johnson指出谷歌的Gmail，這是HTML5本地存儲(chǔ)功能的早期使用者。在HTML5之前，攻擊者可能必須竊取計(jì)算機(jī)的cookies，然后進(jìn)行解碼以獲取在線電子郵箱服務(wù)的密碼�，F(xiàn)在，攻擊者只需要獲取到用戶瀏覽器的信息就能發(fā)動(dòng)攻擊，因?yàn)樵跒g覽器中，Gmail存儲(chǔ)了收件箱的副本。

“這些功能集是很可怕的，”他表示，“如果我能夠在你的網(wǎng)絡(luò)應(yīng)用程序中找到一個(gè)漏洞，并且注入HTML5代碼，我就能修改你的網(wǎng)站并且隱藏我不想讓你看到的內(nèi)容�！�

對(duì)于本地存儲(chǔ)，攻擊者可以從你的瀏覽器讀取數(shù)據(jù)，或者在你不知情的情況下插入其他數(shù)據(jù)。對(duì)于地理位置，攻擊者可以在你不知情的情況下確定你的位置。對(duì)于新版本的CSS（層疊樣式表），攻擊者可以控制你能夠看見的CSS增強(qiáng)網(wǎng)頁(yè)的要素。HTML5的WebSocket向?yàn)g覽器提供了一種網(wǎng)絡(luò)通信協(xié)議棧，這可以被濫用來(lái)秘密的后門通信。