Naciśnij ESC aby zamknąć

Przechowywanie danych po stronie klienta w HTML 5 będzie podatne na ataki

w3c.png
Z wejściem standardu HTML 5, pojawią się nowe problemy dotyczące bezpieczeństwa. Tak się dzieje za każdym razem, gdy premierę ma nowa technologia. Na konferencji ShmooCon, która odbyła się 7 lutego, Michael Sutton zaprezentował główne źródło przyszłych ataków na aplikacje HTML 5.

Jak wynika ze specyfikacji, nowa wersja zawierała będzie innowacyjne rozwiązanie zastępujące dotychczasową technologię cookies odpowiedzialną za przechowywanie danych po stronie klienta. Zostanie wprowadzona strukturalna baza danych, która z założenia ma ułatwić i przyspieszyć zarządzanie danymi. Pomysł ten nie jest nowy, ponieważ istnieją już na rynku aplikacje wykorzystujące mechanizm SQLite, który umożliwia działanie aplikacji webowej w trybie off-line.

Sutton zwrócił uwagę, że dotychczasowe zastosowanie ataku SQL injection na kliencie będzie nie tylko możliwe, ale też o wiele łatwiejsze, ponieważ agresor dostanie możliwość pobrania własnej kopii schematu bazy danych, a zatem dokładny podgląd w jej strukturę. Proces inwigilacji przestanie być oparty na odgadywaniu konstrukcji tabeli, co bardzo usprawni przeprowadzanie ataku.

Pojawia się też podejrzenie, że sama baza danych klienta może stać się narzędziem do przeprowadzenia ataku poprzez wstrzyknięcie groźnych komend w miejsce danych.

Źródło: http://news.techworld.com

Redakcja

Nasz zespół składa się z doświadczonych ekspertów w dziedzinie bezpieczeństwa informatycznego i najnowszych trendów technologicznych. Nasi autorzy posiadają wieloletnie doświadczenie zarówno w sektorze komercyjnym, jak i akademickim, co pozwala im na głębokie zrozumienie i analizę dynamicznie zmieniającego się świata technologii. Jako grupa specjalistów dostarczamy rzetelne i aktualne informacje, analizy oraz poradniki z zakresu bezpieczeństwa IT i innowacji technologicznych. Nasze artykuły opierają się na dogłębnym badaniu tematu, wsparte doświadczeniem naszych ekspertów. Stawiamy na edukację czytelników, pomagając im zrozumieć skomplikowane zagadnienia technologiczne i zachować bezpieczeństwo w cyfrowym świecie. Naszym celem jest dostarczanie precyzyjnych i aktualnych informacji, które wspierają zarówno profesjonalistów IT, jak i zwykłych użytkowników w zrozumieniu i adaptacji do szybko zmieniającego się świata technologii. Zależy nam na promowaniu kultury bezpieczeństwa i świadomości cyfrowej w społeczeństwie.