Geekflare
Geekflare wird von unserem Publikum unterstützt. Wir können Affiliate-Provisionen durch den Kauf von Links auf dieser Website verdienen.
By Geekflare-Redaktion in Sicherheit  |  Zuletzt aktualisiert: 6. September 2022
Teilen:

Wie ändert HTML5 die Websicherheit?

html5
Invicti Web Application Security Scanner – die einzige Lösung, die eine automatische Verifizierung von Schwachstellen mit Proof-Based Scanning™ bietet.

Google Ankündigung Dass sie mit Flash fertig sind, war der letzte Nagel in Flashs Sarg.

Bereits vorher mögen prominente Technokraten Steve Jobs sprach sich offen gegen Flash aus.

Mit dem Niedergang von Flash und dem Aufstieg von HTML5 wurde eine neue Ära eingeläutet, die besser aussehende und besser funktionierende Websites bietet, die mit Mobiltelefonen und PCs gleichermaßen kompatibel sind.

Das Übertragen und Empfangen von Daten ist auch viel einfacher als zuvor.

Es stellt jedoch seine einzigartigen Herausforderungen dar, die gewonnen werden müssen.

Dies hat den Vorteil, dass HTML5 die browserübergreifende Unterstützung und Funktionalität auf ein völlig neues Niveau hebt.

Browser

Bestimmte Browser unterstützen keine einzelnen Site-Elemente, und es ist frustrierend, die Site-Elemente ändern zu müssen, um mit dem Erscheinungsbild Schritt zu halten.

HTML5 verwirft diese Anforderung, da alle modernen Browser dies unterstützen.

Cross-origin Resource Sharing

Cross-Origin Resource Sharing (CORS) ist eine der einflussreichsten Funktionen von HTML5 und bietet auch die meisten Möglichkeiten für Fehler und Hacker-Angriffe.

CORS Definiert Header, damit Websites Ursprünge definieren und kontextbezogene Interaktionen ermöglichen können.

Mit html5 schaltet CORS den grundlegenden Sicherheitsmechanismus in Browsern stumm, der als Gleiche Ursprungsregel.

Unter derselben Ursprungsrichtlinie kann ein Browser einer Webseite nur dann den Zugriff auf Daten von einer zweiten Webseite erlauben, wenn beide Webseiten denselben Ursprung haben.

Hörner

Was ist ein Ursprung?

Ein Ursprung ist eine Kombination aus URI-Schema, Hostname und Portnummer. Diese Richtlinie verhindert, dass böswillige Skripte Daten von Webseiten ausführen und darauf zugreifen.

CORS lockert diese Richtlinie, indem es verschiedenen Standorten den Zugriff auf Daten ermöglicht, um eine kontextbezogene Interaktion zu ermöglichen.

Dies kann dazu führen, dass ein Hacker sensible Daten in die Hände bekommt.

Zum Beispiel

Wenn Sie bei Facebook angemeldet sind und weiterhin angemeldet sind und dann eine andere Website besuchen, können die Angreifer möglicherweise Informationen stehlen und mit Ihrem Facebook-Konto alles tun, was sie möchten, indem sie die entspannte Cross-Origin-Richtlinie nutzen.

Etwas lauwarm: Wenn ein Benutzer in seinem Bankkonto angemeldet ist und vergisst, sich abzumelden, kann der Hacker Zugriff auf die Anmeldeinformationen des Benutzers, seine Transaktionen oder sogar das Erstellen neuer Transaktionen erhalten.

Browser, die Benutzerdetails speichern, lassen Sitzungscookies für den Exploit offen.

Hacker können sich auch in die Header einmischen, um nicht validierte Weiterleitungen auszulösen.

Nicht validierte Weiterleitungen können auftreten, wenn Browser nicht vertrauenswürdige Eingaben akzeptieren. Dies leitet wiederum eine Umleitungsanforderung weiter. Die nicht vertrauenswürdige URL kann geändert werden, um der schädlichen Site eine Eingabe hinzuzufügen und somit Phishing-Betrug zu starten, indem URLs bereitgestellt werden, die mit der tatsächlichen Site identisch erscheinen.

Unvalidierte Weiterleitungs- und Weiterleitungsangriffe können auch verwendet werden, um in böswilliger Absicht eine URL zu erstellen, die die Zugriffskontrollprüfung der Anwendung besteht, und den Angreifer dann an privilegierte Funktionen weiterzuleiten, auf die er normalerweise nicht zugreifen kann.

Hier ist, worauf Entwickler achten sollten, um zu verhindern, dass diese Dinge passieren.

  • Entwickler sollten sicherstellen, dass URLs zum Öffnen übergeben werden. Wenn diese domänenübergreifend sind, kann sie für Code-Injektionen anfällig sein.
  • Achten Sie auch darauf, ob die URLs relativ sind oder ein Protokoll angeben. Eine relative URL gibt kein Protokoll an, dh wir würden nicht wissen, ob es mit HTTP oder https beginnt. Der Browser geht davon aus, dass beide wahr sind.
  • Verlassen Sie sich bei Zugriffskontrollprüfungen nicht auf den Origin-Header, da diese leicht gefälscht werden können.

Woher wissen Sie, ob CORS in einer bestimmten Domain aktiviert ist?

Nun, Sie können Entwicklertools im Browser verwenden, um Untersuche den Header.

Cross-domain Messaging

Domänenübergreifendes Messaging war zuvor in Browsern nicht zulässig, um dies zu verhindern Cross-Site-Scripting-Angriffe.

Dies verhinderte auch die legitime Kommunikation zwischen Websites, was den Großteil der domänenübergreifenden Nachrichtenübertragung ausmachte.

Mit Web Messaging können verschiedene APIs problemlos interagieren.

Um Cross-Scripting-Angriffe zu verhindern, sollten Entwickler Folgendes tun.

Sie sollten den erwarteten Ursprung der Nachricht angeben

  • Die Ursprungsattribute sollten immer überprüft und die Daten überprüft werden.
  • Die empfangende Seite sollte immer das Ursprungsattribut des Absenders überprüfen. Auf diese Weise können Sie überprüfen, ob die empfangenen Daten tatsächlich vom erwarteten Speicherort gesendet werden.
  • Die empfangende Seite sollte auch eine Eingabevalidierung durchführen, um sicherzustellen, dass die Daten das erforderliche Format haben.
  • Ausgetauschte Nachrichten sollten als Daten und nicht als Code interpretiert werden.

Better Storage

Ein weiteres Merkmal von HTML5 ist, dass es eine bessere Speicherung ermöglicht. Anstatt sich auf Cookies zu verlassen, um die Benutzerdaten zu verfolgen, kann der Browser Daten speichern.

Speicher

HTML5 ermöglicht die Speicherung über mehrere Fenster hinweg, bietet eine bessere Sicherheit und behält Daten auch nach dem Schließen eines Browsers bei. Lokale Speicherung ist ohne Browser-Plugins möglich.

Dies führt zu verschiedenen Problemen.

Entwickler sollten sich um die folgenden Dinge kümmern, um zu verhindern, dass Angreifer Informationen stehlen.

  • Wenn eine Site Benutzerkennwörter und andere persönliche Informationen speichert, können Hacker darauf zugreifen. Solche Passwörter können, wenn sie nicht verschlüsselt sind, leicht über Webspeicher-APIs gestohlen werden. Daher wird dringend empfohlen, alle wertvollen Benutzerdaten zu verschlüsseln und zu speichern.
  • Darüber hinaus haben viele Malware-Nutzdaten bereits damit begonnen, Browser-Caches und Speicher-APIs zu scannen, um Informationen zu Benutzern wie Transaktions- und Finanzinformationen zu finden.

Concluding thoughts

HTML5 bietet Webentwicklern hervorragende Möglichkeiten, Änderungen vorzunehmen und die Sicherheit zu erhöhen.

Der Großteil der Arbeit zur Bereitstellung einer sicheren Umgebung liegt jedoch bei den Browsern.

Wenn Sie mehr erfahren möchten, lesen Sie „Lernen Sie HTML5 in 1 Stunde" Kurs.

Danke an unsere Sponsoren
Weitere großartige Lektüre zum Thema Sicherheit
Treiben Sie Ihr Geschäft an
Einige der Tools und Dienste, die Ihr Unternehmen beim Wachstum unterstützen.
  • Invicti
    Invicti verwendet das Proof-Based Scanning™, um die identifizierten Schwachstellen automatisch zu verifizieren und innerhalb weniger Stunden umsetzbare Ergebnisse zu generieren.
    Versuchen Sie es mit Invicti
  • helle Daten
    Web-Scraping, Wohn-Proxy, Proxy-Manager, Web-Unlocker, Suchmaschinen-Crawler und alles, was Sie zum Sammeln von Webdaten benötigen.
    Versuchen Sie es mit Brightdata
  • Semrush
    Semrush ist eine All-in-One-Lösung für digitales Marketing mit mehr als 50 Tools in den Bereichen SEO, Social Media und Content-Marketing.
    Versuchen Sie es mit Semrush
  • Intruder
    Intruder ist ein Online-Schwachstellenscanner, der Cyber-Sicherheitslücken in Ihrer Infrastruktur findet, um kostspielige Datenschutzverletzungen zu vermeiden.
    MIT DER INTELLIGENTEN SCHADENKALKULATION VON Intruder