Saeid مدیر کل سایت
شمار پستها : 1204 اعتبار : 351 تاریخ پیوستن : 2012-01-26 سن : 33
| عنوان: نکات منفی HTML5 ! 4/5/2012, 15:28 | |
| نکات منفی HTML5 ! محققان عرصه امنیت در فضای سایبر نسبت به تهدیداتی که به دلیل استفاده از زبان اچتیامال ۵ در آینده پیش روی طراحان وب و کاربران این فضا قرار دارد، هشدار دادند. به گزارش گرداب، زبان برنامه نویسی "اچتیامال ۵" (HTML۵) طراحان وب را قادر میسازد تا کارهایی را که پیش از این تنها از طریق کد فلش یا کد پیچیده جاوا اسکریپت قابل انجام بود، صورت دهند. البته این تکنولوژی که مرورگرهای وب اکنون به خوبی قابلیت پشتیبانی از آن را دارند، راههای مختلفی برای تخلف و اقدامات خرابکارانه باز گذاشته است. "روبرت مکآردل"، پژوهشگر ارشد تهدیدات در موسسه "ترند میکرو"، در حاشیه اجلاس "B-Sides"، به تشریح این امر که چگونه این زبان برنامه نویسی میتواند برای فعال ساختن باتنتهای مبتنی بر مرورگر و دیگر حملات سایبری مورد استفاده قرار بگیرد، پرداخت. وی گفت که قابلیتهای جدید این زبان (WebSockets وCross-Origin Requests) میتواند عرصه امنیت اطلاعات را با مخاطراتی مواجه کنند، به طوری که قادر است مرورگر کروم (محصول کمپانی گوگل) و مرورگر فایرفاکس (محصول کمپانی موزیلا) را کاملا به ابزارهای جرائم سایبری مبدل سازد. وی همچنین هشدار داد که تعداد قابل توجهی از حملات بر مبنای استفاده از جاوا اسکریپت برای به وجود آوردن "باتنتهای مبتنی بر مرورگر" مقیم در حافظه طراحی میشوند. این باتنتها قادرند اسپم ارسال کنند، حملات محرومیت از سرویس (DoS) صورت دهند یا حتی دست به اقدامات بدتری بزنند. وی افزود از آنجایی که حمله مبتنی بر مرورگر است، هر دستگاهی که از سیستم عامل " Mac OS X " (متعلق به کمپانی اپل) استفاده میکند تا تلفن های هوشمند اندرویدی، می توانند کد پلتفرم را اجرا کنند که به وجود آمدن بدافزار را کاملا آسان میسازد. مجبور کردن کاربران به بازدید یک صفحه وب آلوده به جای وادارساختن آنها به بازکردن یک فیلم مضحک، مزایای زیادی برای هکرها دارد. تشخیص فایلهای وب آلوده ای که در حافظه نگهداری میشوند با آنتیویروسهای رایج که به جستجو برای یافتن محتواهای بد ذخیره شده روی دیسک حافظه می پردازند، دشوار است. کد جاوا اسکریپت به آسانی سردرگم میشود؛ بنابراین گیتویهای شبکه که در صف بسته های داده به دنبال امضای بدافزارها میگردند، به آسانی دور میخورند و حملات مبتنی بر پروتکل "اچتیتیپی" (HTTP) قادر خواهند بود از اغلب فایروال ها عبور کنند. خطر دیگر، مهندسی اجتماعی با استفاده از پاپ-آپهای (pop-up) سفارشی اچ.تی.ام.ال. ۵ است که خارج از مرورگر و برای فریب کاربر برای پذیرفتن نوشتن در جعبه پیغام خطا به وی نشان داده میشوند. وی میافزاید: «ویژگیهای خوب اچتیامال ۵، بیش از ویژگیهای منفی آن است، اما خوب است که به آینده بیاندیشیم و سیستمهای دفاعی مناسبی در این زمینه طراحی کنیم.» وی همچنین به طراحان وب سایتها توصیه کرد از عدم آسیبپذیری وب سایتهایشان در برابر حملات مربوط به ویژگیهای اچتیامال ۵ اطمینان حاصل کنند.
| |
|