HTML5提出安全新问题

　　谈到安全问题，火狐浏览器安全团队首先对新版网络超文本标记语言HTML5有看法。
　　为Mozilla基金会研究火狐安全问题的Sid Stamm上星期在华盛顿举行的Usenix安全研讨会上说，使用HTML5将使Web应用程序越来越丰富。浏览器正在开始管理十足的应用程序，而不仅仅是网页。

　　他说，我们需要考虑许多刚出现的攻击。

　　Stamm在上星期表示了对HTML5的担心。Opera浏览器开发人员正在忙于修复一个缓存溢出安全漏洞。使用HTML5油画图像处理功能可以利用这个安全漏洞。

　　万维网联盟为处理网页制定的一套新标准(也就是HTML5)出现全新的安全漏洞是不可避免的吗?至少一些安全研究人员认为是如此。

　　安全研究人员Lavakumar Kuppan说，HTML5给Web带来了许多功能和能力。黑客现在使用简单的HTML5和Java脚本能够做更多的恶意工作。这些恶意工作以前是不可能做到的。

　　安全咨询公司Secure IDEAs的渗透测试人员Kevin Johnson说，万维网联盟重新设计这个标准完全是基于在浏览器中执行应用程序这样一种考虑，而多年来我们已经证实了浏览器的安全性是怎么样的。我们必须回过头来理解浏览器是一个恶意的环境。我们忘记了这个问题。

　　虽然HTML5本身是一个技术规范的名称，但是，HTML5还经常用来解释一套松散的相互关联的标准。这些标准组合在一起能够创建功能齐全的Web应用程序。这些应用程序可提供网页格式化、离线数据存储、图像处理等功能。(JavaScript尽管不是万维网联盟的技术规范，但也经常被看成是这些标准，因此被广泛用于构建Web应用程序)。

　　安全研究人员正在开始研究所有这些新提出的功能。

　　今年夏季早些时候，Kuppan和另外一位安全研究人员发布了一个滥用HTML5离线应用程序缓存的方法。他们说，谷歌Chrome、Safari、火狐和Opera测试版等浏览器都已经采用了这种功能，都容易受到使用这种方法进行的攻击。

　　研究人员争辩说，因为任何Web网站都能在用户的计算机上创建高速缓存，而在某些浏览器上，这样做是没有经过用户批准的，因此，攻击者可以制作假冒的登录网页链接到社交或者电子商务网站。这样，假冒的网页就可以用来窃取用户的证书。

　　其他研究人员对这个研究结果的价值意见不一。

　　vsftp(非常保密文件传输协议)软件开发者Chris Evans在“全面披露”邮件列表中写道，这是一个有趣的曲解，但是，它似乎不能向网络攻击者提供任何他们现在所没有的额外的优势。

　　安全研究公司Recursion Ventures的首席科学家Dan Kaminsky同意这个观点。他说，这种做法是在HTML5之前就已经出现的攻击的继续。浏览器不仅请求内容，呈现内容，抛弃内容，浏览器还存储内容以便以后使用。Lavakumar在电子邮件采访中说，他认为，下一代缓存技术将有同样的特征。

　　批评人士一致认为，这种攻击将依赖于网站不使用安全套阶层(SSL)来加密浏览器与网站网页服务器之间的数据。这是一种常见的做法。但是，即使这种做法不能暴露一种新的安全漏洞类型，它也确实表明在这个新的环境中可以重新利用老的安全漏洞。

　　Johnson说，使用HTML5，许多新功能本身就构