Web-Sicherheit

August 2, 2011

EU-Agentur für Netz- und Informationssicherheit (ENISA) warnt vor HTML 5

Filed under: Allgemein — sebastiankuebeck @ 15:09
Tags: , , , , , , ,

Einen Tag vor Absegnung der aktuellen Spezifikation von HTML5, dem neuen Standard für das Web, veröffentlichte die EU-Agentur für Netz- und Informationssicherheit (ENISA) den Bericht A Security Analysis of Next Generation Web Standards, indem sie auf 50 Sicherheitsprobleme in den vorgeschlagenen Spezifikationen des Standards hinweist und Vorschläge zu deren Behebung macht.

Giles Hogben, Program Manager für den Bereich Secure Services der ENISA sagte in einem Interview für Computerworld: „Ich glaube diese Analyse ist etwas besonders, da es das erste Mal ist, das jemand sich diese Spezifikationen unter dem Gesichtspunkt der Sicherheit ansieht. Da jeder heutzutage einen Webbrowser verwendet, ist das wirklich kritisch.“

Manche der identifizierten Sicherheitsprobleme können durch Änderungen in der jeweiligen Spezifikation korrigiert werden, andere sind Risiken basieren auf neuen Features, vor denen Benutzer gewarnt werden müssen, so Hogben. Eines dieser Features, welches die ENISA beunruhigt, nennt sich „Form Tampering“, also das Manipulieren von Formularinhalten.

Die HTML5-Spezifikation erlaubt, dass der Absenden- oder Submit-Button für ein Formular an einem beliebigen Ort auf der Seite platziert werden kann.  Das könnte von einem Angreifer dazu ausgenutzt werden, eigenen HTML-Code in die Webseite einzuschleusen, sodass dem Besucher ein anderer Button untergeschoben wird, was dazu führt, dass die Formulardaten an die Webseite des Hackers übergeben wird.

Laut Hogben hat dieses Feature Vorteile für Web-Entwickler. „Wir empfehlen nicht, das Feature gänzlich zu entfernen, allerdings sollten sich die Benutzer des Risikos bewusst sein.“

Die ENISA machte auch Vorschläge, wie sich Browser beispielsweise auf Onlinebanking-Seiten verhalten sollten. Benutzer sollten dafür andere Browser verwenden, als für weniger kritische Seiten – zumindest aber geschützte („sandboxed“) Sessions, wenn sie mehrere Tabs benutzen. Eine geschützte Session würde es verhindern, dass andere Tabs die laxen Sicherheitseinstellungen des Browsers ausnutzen, um Daten vom Tab mit der Onlinebanking-Seite abzugreifen.

Die weitere Vorgehensweise ist, dass die ENISA ihre Empfehlungen an die zuständigen Arbeitsgruppen des W3C weiterleitet, welche ihrerseits die Spezifikationen bis Jänner 2012 anpassen werden.

Problematisch dabei ist, das zahreiche Features von HTML5 bereits in aktuellen Browsern zur Verfügung stehen. Möglicherweise ist es also bereits möglich, die genannten Schwachstellen in dem einen oder anderen Browser bereits ausgenutzt werden können…

Schreibe einen Kommentar »

Es gibt noch keine Kommentare.

RSS feed for comments on this post. TrackBack URI

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s

Bloggen auf WordPress.com.

%d Bloggern gefällt das: