Alfonso Maruccia

ENISA: HTML5 non è sicuro

L'agenzia per la cyber-sicurezza europea mette in guarda il W3C dai rischi connessi con le nuove specifiche della lingua franca del World Wide Web

Roma - Tra i commenti e i pareri messi in calce all'ultima bozza delle specifiche di HTML5, il World Wide Web Consortium (W3C) dovrà tenere conto anche dell'analisi di 61 pagine messa insieme da ENISA (European Network and Information Security Agency) sui rischi derivanti dall'utilizzo di alcune delle caratteristiche del nuovo standard web.

ENISA ha preso in considerazione 13 specifiche di HTML5 e dice di aver individuato ben 51 diversi "problemi di sicurezza", derivanti dal loro utilizzo poco accorto o dallo sfruttamento da parte di malintenzionati.

Uno dei problemi evidenziati dall'agenzia europea è quello concernente il "form tampering", vale a dire un potenziale attacco che sfrutta la capacità di HTML5 di renderizzare un pulsante per la conferma dell'immissione dei dati in un form in qualunque parte dello schermo.
La funzionalità ha alcuni vantaggi per gli sviluppatori, dice ENISA, ma i cyber-criminali potrebbero manomettere il codice della pagina web per spingere l'utente a premere il pulsante sbagliato con tutte le conseguenze che la cosa comporta.

È importante, sottolinea Giles Hogben di ENISA, che "per la prima volta" si guardi alle specifiche HTML dal punto di vista della sicurezza, perché la diffusione estesa dei browser web non fa che corroborare l'importanza "cruciale" delle tecnologie web e quindi l'accento che va posto su implementazioni a prova di hacking e cybercrime.

Alfonso Maruccia
Notizie collegate
16 Commenti alla Notizia ENISA: HTML5 non è sicuro
Ordina
  • se html5 è dannoso, è sicuramente meno dannoso che utilizzare un oggetto flash (che oltretutto va anche ad usare codice accelerato in hardware, o ti va a spiare con la telecameraSorride )

    quello che mi spaventa è che (a vedere), ad esempio, chrome 13 abilita ove disponibile webgl. che tra l'altro permette di eseguire codice (meno controllato dell'html5) nella GPU...

    se dovessimo fare una classifica:
    1) al top, le activex (fortunatamente utilizzabili solo su internet explorer di M$).
    2) le varie (possibili) altre vulnerabilità, tra java o appunto webgl...
    non+autenticato
  • Il link dice
    "The HTML5 specification allows for the "submit" button for a Web-based form to be placed anywhere on a Web page"

    embe'? anche oggi io il pulsante submit lo posso mettere dove mi pare, *nella mia web page*. "position: absolute; ecc. ecc." L'importante e' che non lo possa mettere fuori della mia finestra. Dove e' il rischio? Mica si puo' mettere "sulle web page di altri".
    non+autenticato
  • - Scritto da: ciliani
    > Il link dice
    > "The HTML5 specification allows for the "submit"
    > button for a Web-based form to be placed anywhere
    > on a Web
    > page"
    >
    > embe'? anche oggi io il pulsante submit lo posso
    > mettere dove mi pare, *nella mia web page*.
    > "position: absolute; ecc. ecc." L'importante e'
    > che non lo possa mettere fuori della mia
    > finestra. Dove e' il rischio? Mica si puo'
    > mettere "sulle web page di
    > altri".

    Ci sto pensando anche io da una decina di minuti e non riesco a capire come possa essere più rischioso di ora.
    Nel paper di 61 pagine (di cui la metà sono intro o ripetizioni. Potevano farlo di 30) si dice che il submit può essere fuori dal tag <form> e ne può cambiare action e method. E che un HTML injection può modificare tali valori.
    Ma se puoi fare un HTML injection in HTML5 la puoi fare anche nel 4, e cambiare direttamente method e action del form, no?
    non+autenticato
  • mi sembra che il button deve essere dentro il tag form, probabilmente in html5 puo essere dove vuole magari anche in iframe o codice javascript chissà...
    non+autenticato
  • - Scritto da: Craccolo

    > mi sembra che il button deve essere dentro il tag
    > form, probabilmente in html5 puo essere dove
    > vuole magari anche in iframe o codice javascript
    > chissà...

    Con javascript già ora puoi fare di tutto, visto che puoi modificare il form, fare un submit senza l'intervento dell'utente e così via.

    Quindi anche io non capisco di che stiano parlando.
    FDG
    11017
  • e ma adesso devi mettere in javascript document.write magari con html 5 non serve boh... per me chi ha descritto queste vulnerabilità mi puzza di persona che cerca attenzioni, un attention whore informatico
    non+autenticato
  • - Scritto da: Craccolo
    > e ma adesso devi mettere in javascript
    > document.write magari con html 5 non serve boh...

    Penso che in realta' doc.write si possa evitare con un innerHTML
  • Qualunque cosa che si affaccia su Internet porta con se insicurezza.
    non+autenticato
  • - Scritto da: Dottor Stranamore
    > Qualunque cosa che si affaccia su Internet porta
    > con se
    > insicurezza.

    Questo non implica che non si possa correggere il problema.

    GT
  • - Scritto da: Guybrush
    > - Scritto da: Dottor Stranamore
    > > Qualunque cosa che si affaccia su Internet
    > porta
    > > con se
    > > insicurezza.
    >
    > Questo non implica che non si possa correggere il
    > problema.

    Visto l'esempio del pulsante renderizzabile ovunque, non saprei come fare per correggere, se non eliminando la funzionalita'.

    > GT
  • postion:absolute e lo piazzi dove vuoi anche in html5 o xhtml non credo che dove viene renderizzato sia il problema piuttosto dove siene messo nel codice (ma non ho letto tutto fino in fondo, posso sbagliare attendo chiarimenti da altri)
    non+autenticato
  • nemmeno io, non mi pare ( se ho capito bene ) un problema solo di html5.

    In ogni caso, al posto del submit puoi usare type='button' e gestire le proprieta' del form ( come action e method ) direttamente da JS ( che cmq in caso di injection servirebbe a poco )

    boh ! Perplesso


    ps.articolo un pelo superficiale
    -----------------------------------------------------------
    Modificato dall' autore il 04 agosto 2011 12.15
    -----------------------------------------------------------
  • - Scritto da: Dottor Stranamore
    > Qualunque cosa che si affaccia su Internet porta
    > con se
    > insicurezza.

    Lo sappiamo che ti affacci su Internet con molta insicurezza. Non preoccuparti: un giorno imparerai anche tu ad aprire il browser senza chiedere aiuto all'infermiera.
    non+autenticato
  • Si! E non ci sono piu' le mezze stagioni cazzo!
    A parte gli scherzi, bisogna considerare con attenzione questa ricerca, soprattutto perche' l'html5 e' fresco e non ancora definitivo, per cui soggetto a bug e di conseguenza a miglioramenti
    non+autenticato
  • - Scritto da: Dottor Stranamore
    > Qualunque cosa che si affaccia su Internet porta
    > con se
    > insicurezza.

    E allora chiudiamola, forza dillo!
    non+autenticato
  • Se poi pensi che affacciandoti sulla strada, nel mondo reale (where "reale" == "fuori dalla rete"... fa schifo, lo so, ma la gente lo chiama così) rischi pure MOLTO di più... che facciamo? ci si tappa in casa? si chiudono scuri e finestre? ci si blinda dentro? bunker atomico?... chiudiamo il mondo reale? (lol)
    888