A mudança para o HTML5 permitirá uma série de novos aplicativos da Web, mas também criará desafios para os profissionais de segurança, de acordo com a empresa de segurança Sophos.
Nas suas previsões para 2012, a empresa identifica novos padrões Web como alguns dos principais riscos de segurança para o próximo ano. Embora estas tecnologias ofereçam novas e impressionantes capacidades – especialmente se consideramos o desenvolvimento de aplicativos Web mais ricos, elas também introduzir novos vetores de ataque, diz a Sophos.
O HTML4 impulsionou o conteúdo na Web por muitos anos, mas é uma linguagem muito básica, que sempre obrigou os desenvolvedores a complementá-la com o uso de add-ons, como JavaScript e Flash. Estes add-ons são muitas vezes cheios de vulnerabilidades.
E embora o HTML5 elimine a necessidade da maioria dos plugins, por ser mais sofisticado, vir com um banco de dados completo (possibilitando o armazenamento de gigabytes de informação), além de permitir recursos como animação full-frame, realidade virtual em 3D, aplicações ou lojas dentro do navegador, não deixa de ter falhas.
De acordo com James Lyne, analista-sênior da Sophos, o armazenamento de dados dentro do navegador o tornará alvo de cibercriminosos. "Tradicionalmente, o browser tem sido uma porta de entrada para criminosos virtuais no seu PC, agora eles vão estar tentando atacar o próprio navegador para roubar seus dados", afirma Lyne.
Novas formas de isolamento de processos no HTML5 também levam a "clickjacking" (técnica de enganar os internautas para que revelem informações confidenciais ou de controle de seu computador enquanto clicam em um link aparentemente inócuo), e a novas questões em torno do uso de cookies.
"O HTML5 poderia ter novos 'super-uber-cookies'", disse Lyne. "Se as pessoas não codificam seus sites corretamente, os bandidos podem montar uma enorme base de dados de URLs."
Apesar desses problemas potenciais, Lyne garante que há uma série de recursos de segurança a usar no HTML5. Há agora, do lado do cliente, a validação de entrada, bem como bibliotecas que podem ajudar a lidar com ataques específicos, como o de injeção de SQL.
"Com o tempo, o HTML5 vai resolver muitos dos problemas que temos, mas como acontece com qualquer tecnologia nova, você tende a ter uma regressão inicialmente", afirma o especialista. "Precisamos ter certeza de que não estarmos adotando casualmente um pesadelo."
Artigos relacionados:
- HTML5 to create new challenges for security pros in 2012 (infoworld.com)
- HTML 5 target for cybercriminals (bbc.co.uk)
- HTML5 in Mobile Gaming (designgames11.wordpress.com)
Incoming search terms:
- quadrinho html5
- aplicativo sophos para facebook
- html5 completo do zero
Comments