02.12.2022

Hack Pub

Новости интересные и малоизвестные из IT индустрии

ENISA выделила 50 угроз безопасности в новых веб-стандартах

Выпуском исследования по безопасности, которое описывает 50 угроз в таких стандартах, как HTML5, Агентство европейской безопасности ENISA предупреждает, что, возможно, потребуется переписывать многие только что созданные веб-стандарты.

«Доклад «Анализ безопасности следующего поколения веб-стандартов» создавался агентством в то время, когда многие стандарты были еще не завершены», — объяснил редактор Джайлс Хогбен. «Сейчас многие из этих спецификаций достигают точки необратимости и изменения в них вносить будет уже поздно. Но у нас еще есть возможность серьёзно задуматься о безопасности, прежде чем окончательно утвердить стандарт, а не пытаться латать его после», — сказал он.

«Это уникальная возможность создать защиту на стадии проектирования (security-by-design)».

В докладе анализируются 13 стандартов World Wide Web Consortium (W3C), включая HTML5, предназначенные для интерфейсов связи, такие как CORS и XHR, API устройств, в том числе геолокации и виджетов.

Вызывает обеспокоенность тот факт, что в документе отмечен ряд проблем, связанных с HTML5, который в настоящее время продвигается крупными вендорами и будет являться стандартом для создания веб-страниц на много лет вперед.

К проблемам относятся возможность отключения защиты от кликджекинга, проблемы с валидацией данныхв формах. Другие распространенные проблемы безопасности: незащищенный доступ к конфиденциальной информации и неописанные функции, которые, как предупредила ENISA, могут привести к ошибкам.

Рекомендации ENISA по улучшению безопасности в стандартах включают в себя повышение контроля доступа, ужесточение системы разрешений и введение «permission awareness indicators».

Консорциум W3C поддержал исследование и предложил ENISA сообщать о любых вопросах соответствующим рабочим группам W3C.