Die Tücken von HTML5 Detail - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


13.02.2012 :: Printausgabe 03/2012 :: Edmund E. Lindau

Die Tücken von HTML5

Die größten Bedrohungen von HTML5 sind neuartige Botnets.

Einer der Gründe, warum Apple kein Flash auf seinen iPads unterstützte und HTML5 den Vorzug gab, waren die Flash-Sicherheitslücken. Mittlerweile setzen allerdings viele Webentwickler auf den neuen Standard. Und das nicht nur, weil es Erweiterungen für die Video- und Audiowiedergabe überflüssig macht – Stichwort Adobe Flash. Auch die verbesserte User-Experience und Performance sprechen für den neuen Standard. Ein gefährlicher Trugschluss?

HTML5 ist nicht ein einfaches Upgrade von HTML4, wie man es üblicherweise kennt, sondern hat eine ganze Reihe von Features, jedes mit unterschiedlicher Browser-Unterstützung. So mächtig die Neuerungen sind, so gefährlich können sie den Nutzern werden.

Mittlerweile hat auch die europäische Agentur für Cyber-Sicherheit ENISA über 50 Sicherheitslücken in HTML5 ausgemacht, die es dringend zu schließen gilt. Die Sicherheitslücken finden sich in Bereichen wie dem ungeschützten Zugriff, Methoden zum Triggern von Formularübermittlung an Angreifer oder bei Problemen in der Bestimmung und Durchführung von Sicherheitsrichtlinien. Auch gibt es Unstimmigkeiten bei der Rechteverwaltung des Betriebssystems, nicht ausreichend spezifizierte Funktionen, die zu widersprüchlichen oder fehleranfälligen Anwendungen führen können, sowie neue Methoden zum Unterlaufen von Zugangskontrollmechanismen und des Schutzes vor »Click-Jacking« (den Nutzer dazu verleiten, gefährliche Links und Schaltflächen anzuklicken).

»Bei vielen dieser Spezifikationen gibt es bald kein Zurück mehr. Wir haben ausnahmsweise die Gelegenheit, eingehend über Sicherheit nachzudenken – ehe der Standard unumstößlich wird –, anstatt zu versuchen nachträglich auszubessern. Dies ist eine einmalige Gelegenheit, die Sicherheit schon im Design mit einzuplanen«, erläutert Giles Hogben, Mitherausgeber der ENISA-Analyse.

BOTNETS IN THE BROWSER Die größte Bedrohung, die über HTML5 entsteht, sind BITB (Botnets In The Browser). Angreifer sind mit HTML5 in der Lage, ein Botnet zu erzeugen, das auf jedem Betriebssystem, überall auf jedem Gerät, funktioniert. Es läuft vorwiegend im Hauptspeicher und berührt daher die Platte kaum. Somit ist es für traditionelle dateibasierende Antivirus-Programme schwierig, es zu entdecken. Auch lässt sich Javascript einfach verschleiern, sodass auch Netzwerk-IDS-Signaturen sich mit diesen BITB schwer tun. Schließlich ist das Botnet webbasierend, kommt also durch die meisten Firewalls leicht durch. Dabei wird das System eines Nutzers infiziert, indem er dazu verleitet wird, das ursprüngliche Javascript auszuführen. Es gibt viele Wege, dies zu tun, einschließlich XSS, Anklicken eines Links in einer Mail oder Instant Message, Blackhat Search Engine Optimization (SEO), Social Engineering sowie Kompromittieren einer Web­seite oder andere Methoden mehr. Auch DDos-Attacken sind leicht möglich. Der Web Worker kann Cross Origin Requests nutzen, um Tausende von GET-Anfragen an eine Ziel-Site zu schicken, sodass es zu Denial of Service kommt.

Ebenso können beispielsweise schlecht konfigurierte Web-Formulare auf den »Contact Us«-Seiten zur Erzeugung von Spam genutzt werden. Dies ist nur ein kleiner Teil der bemerkenswerte Angriffs­vektoren im Hacker-Arsenal auf und mit HTML5, die in absehbarer Zukunft vor allem bei gezielten Attacken eingesetzt werden.

HERKÖMMLICHE SICHERHEITSTOOLS GREIFEN NICHT Da HTML5 vorwiegend im Hauptspeicher läuft und daher die Festplatte kaum berührt, ist es für Antivirenprogramme, die mit Signaturdateien arbeiten, schwierig, das Botnetz zu erkennen. Die Implementierung des Schadcodes per JavaScript – das sich, so erklärt beispielsweise Trend Micro – »technisch gesehen mit wenig Mühe verschleiern lässt«, erschwert eine Erkennung durch gängige Sicherheitslösungen zusätzlich. Da der Schadcode im Browser ausgeführt ist, bieten auch gängige Firewalls kaum Schutz. Zudem könnte der Schadcode auch so programmiert ­werden, dass er sich von per HTML5 infizierten Rechnern selbständig weiterverbreitet. Tatsache ist, dass herkömmliche Sicherheitsmaßnahmen gegen Malware diese neuen Angriffsvektoren nicht abwehren können.

KOSTENLOSE ERSTHILFE Doch gibt es einige kostenlose Tools, die sehr guten Schutz bieten: Das Browser Plugin NoScript ist unter Insidern bereits gut bekannt und schränkt die Funktionsweise von Javascript und anderen Plugins auf nicht vertrauenswürdigen Seiten ein. Oder auch Trend Micros BrowserGuard, der eine Reihe von Funktionen beinhaltet, um webbasierte Angriffe abzuwehren. Dazu gehören unter anderem fortschrittliche heuristische Techniken.

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema


Hosted by:    Security Monitoring by: