HTML 5 è da molti visto come il “sostituto” di Adobe Flash in grado di migliorare l’efficienza con la quale vengono caricati e presentati file audio, video e grafica. Tuttavia, gli esperti di sicurezza hanno “settacciato” la tecnologia e scoperto che potrebbe creare problemi alle aziende.
HTML 5 è da molti visto come il futuro erede di Adobe Flash, una tecnologia in grado di migliorare l’efficienza con la quale vengono caricati e presentati file audio, video e grafica. James Lyne, Senior Technologist di Sophos, mette in guardia sui potenziali problemi che potrebbero dare alcune funzionalità non correttamente programmate dello standard Web nascente HTML. Questi “buchi” aprirebbero dei varchi utilizzabili in maniera fraudolenta dagli attacker per assicurarsi l’accesso ai dati sensibili provenienti dal sito Web delle aziende.
La tecnologia che sta dietro HTML 5 è particolarmente complessa e permette agli sviluppatori di assicurarsi funzionalità di storage locale, rendering integrato e la possibilità di includere opzioni di geolocazione sui dispositivi mobile anche se il browser non è connesso a Internet. “Tutte queste cose sono incluse nativamente in HTML 5 e non richiedono specifici plug-in per poter essere sviluppate – sottolinea Lyne -. Se si possono standardizzare utilizzando un buon modello di sicurezza, tutto questo si traduce in una user experience decisamente migliorata e nella miglior consistenza dei dati che transitano su diversi dispositivi. Ma occorre stare molto attenti”.
Il clickjacking
Anche se HTML 5 è uno standard al momento ancora a livello di proposta “draft” è, di fatto, già stato adottato dalla maggior parte delle aziende che sviluppano browser Web. Persino Adobe ha annunciato, lo scorso novembre, che non supporterà ancora a lungo il proprio Flash sui dispositivi tablet e sugli smartphone e, per contro, si è detta pronta a spalancare le braccia a HTML 5. Ma alcuni aspetti della sua sicurezza risultano ancora poco chiari. Lo standard in questione, infatti, non permette il tracking dei cookies, una pratica spesso criticata utilizzata dalle aziende per tenere traccia delle abitudini degli utenti in merito alla navigazione sul Web. HTML 5, in realtà, include nuove formule per tenere traccia e immagazzinare le informazioni in merito ai navigatori e agli utenti del Web. “Ad esempio, le routine utilizzate per distillare le informazioni sensibili e abilitare gli utenti alla gestione dei dati relativi alla privacy non sono ancora proprio chiare”, sottolinea Lyne. Oltre a questo, anche le modalità con le quali cercare di porre un freno al clickjacking, una tecnica di attacco che sfrutta le applicazioni Flash per “confondere” l’utente, spingendolo a eseguire codice maligno o a cliccare un link infetto mentre naviga su un certo sito Web, non sono ancora chiare.
La maggior parte dei sistemi di difesa dei siti Web, infatti, si basa sulla tecnologia JavaScript, che risulta inefficace per HTML 5.
Lyne chiarisce che alcune tecnologie di filtraggio dei contenuti Web e antivirus si rivelano molto utili come armi di difesa contro questo tipo di attacchi. In aggiunta a questo, i membri dell’Open Web Application Security Project (OWASP) stanno lavorando a un documento che definirà le best practice relative a HTML 5, utili per gli sviluppatori Web e per quelli che si occupano, più in generale, di sviluppo applicativo.
