HTML5是万维网联盟(W3C)发布的新一套渲染网页标准,在给全球互联网带来更多功能的同时,HTML5也引来了黑客们的兴趣,黑客们现在可以更多地对HTML5和JavaScript发动恶意攻击,甚至比以往任何时候都要容易。比如,谷歌Chrome、Safari、Firefox和Opera等浏览器基于HTML5所部署的离线应用程序缓存功能就很容易受到黑客攻击。而HTML5的WebSocket技术向浏览器提供了一种网络通信协议,也可以被用做秘密的后门通信。
技术的发展与变革已经不能靠单一的某项技术来推动,如同HTML5一样,它的新使命是将 Web带入一个成熟的应用平台,所以HTML5并不是简单的HTML标签的升级,而是涵盖了各种新的JS API函数,比如本地存储、拖放操作、地理定位、视频、音频、图像、动画等。同时,HTML5平台下CSS3的完善也使得WEB前端的表现力更加活跃。那 么由此,我们可以把HMTL5平台下的新安全风险分为三方面:HTML+JS+CSS。这些风险已经逐渐开始得到了业内人士的关注。
本月刚刚结束的“2011年中国计算机网络安全年会”除了探讨 “移动互联网安全"、“网络安全技术前沿”、“通信基础设施安全”、“地下经济和网络犯罪”等话题外,最引人瞩目的话题无疑要属于“HTML5安全威胁”。天融信资深安全专家徐少培代表天融信在会上首次正式发布了HTML5安全威胁报告。可以预见,HTML5安全威胁论未来将成为业界最为关注的安全话题之一。下面我们就一一看看这些风险到底是怎样的。
