Выпуском исследования по безопасности, которое описывает 50 угроз в таких
стандартах, как HTML5, Агентство европейской безопасности ENISA предупреждает,
что, возможно, потребуется переписывать многие только что созданные
веб-стандарты.
"Доклад "Анализ
безопасности следующего поколения веб-стандартов" создавался агентством в то
время, когда многие стандарты были еще не завершены", - объяснил редактор Джайлс
Хогбен. "Сейчас многие из этих спецификаций достигают точки необратимости и
изменения в них вносить будет уже поздно. Но у нас еще есть возможность серьёзно
задуматься о безопасности, прежде чем окончательно утвердить стандарт, а не
пытаться латать его после", - сказал он.
"Это уникальная возможность создать защиту на стадии проектирования (security-by-design)".
В докладе анализируются 13 стандартов World Wide Web Consortium (W3C),
включая HTML5, предназначенные для интерфейсов связи, такие как CORS и XHR, API
устройств, в том числе геолокации и виджетов.
Вызывает обеспокоенность тот факт, что в документе отмечен ряд
проблем, связанных с HTML5,
который в настоящее время продвигается крупными вендорами и будет являться
стандартом для создания веб-страниц на много лет вперед.
К проблемам относятся возможность отключения защиты от кликджекинга, проблемы
с валидацией данныхв формах. Другие распространенные проблемы безопасности:
незащищенный доступ к конфиденциальной информации и неописанные функции,
которые, как предупредила ENISA, могут привести к ошибкам.
Рекомендации ENISA по улучшению безопасности в стандартах включают в себя
повышение контроля доступа, ужесточение системы разрешений и введение
"permission awareness indicators".
Консорциум W3C поддержал исследование и предложил ENISA сообщать о любых
вопросах соответствующим рабочим группам W3C.
