HARD CORE SECURITY LAB

Z wejściem standardu HTML 5, pojawią się nowe problemy dotyczące bezpieczeństwa. Tak się dzieje za każdym razem, gdy premierę ma nowa technologia. Na konferencji ShmooCon, która odbyła się 7 lutego, Michael Sutton zaprezentował główne źródło przyszłych ataków na aplikacje HTML 5.

Jak wynika ze specyfikacji, nowa wersja zawierała będzie innowacyjne rozwiązanie zastępujące dotychczasową technologię cookies odpowiedzialną za przechowywanie danych po stronie klienta. Zostanie wprowadzona strukturalna baza danych, która z założenia ma ułatwić i przyspieszyć zarządzanie danymi. Pomysł ten nie jest nowy, ponieważ istnieją już na rynku aplikacje wykorzystujące mechanizm SQLite, który umożliwia działanie aplikacji webowej w trybie off-line.

Sutton zwrócił uwagę, że dotychczasowe zastosowanie ataku SQL injection na kliencie będzie nie tylko możliwe, ale też o wiele łatwiejsze, ponieważ agresor dostanie możliwość pobrania własnej kopii schematu bazy danych, a zatem dokładny podgląd w jej strukturę. Proces inwigilacji przestanie być oparty na odgadywaniu konstrukcji tabeli, co bardzo usprawni przeprowadzanie ataku.

Pojawia się też podejrzenie, że sama baza danych klienta może stać się narzędziem do przeprowadzenia ataku poprzez wstrzyknięcie groźnych komend w miejsce danych.

Źródło: Przechowywanie danych po stronie klienta w HTML 5 będzie podatne na ataki (OSnews.pl)