ENISA es una agencia de seguridad europea que se ha preocupado por la seguridad de la nueva revision de HTML y que ha creado un informe detallado de las inseguridades que contiene esta nueva revisión para que las tomen en cuenta ya que HTML5 va por el doceavo borrador y ahora esta abierto para que cualquiera que quiera aportar se tome en cuenta hasta su cierre.
ENISA dice haber encontrado 50 amenazas que podrían ser riesgosas detalladas en un informe de sesenta y un paginas para ser corregidas en el estándar, ademas piden que los usuarios sean informados de dicho riesgo. Algunos de los problemas en HTML5 pueden ser:
- Acceso sin protección a información confidencial
- Posibilidad de incluir el botón para enviar formularios en cualquier parte de la página, haciendo que sea complicado distinguir entre un botón malicioso y otro real.
- Problemas en la especificación y la aplicación de las políticas de seguridad
- Desajustes con la gestión de los permisos del sistema operativo
- Características que aún no tienen cerradas sus especificaciones, que pueden conducir a conflictos al aplicarse o conducir a errores
- Nuevas de saltarse los mecanismos que evitan el click-jacking
Creo que este informe es interesante porque es la primera vez que alguien analiza un conjunto de especificaciones de un estándar desde el punto de vista de la seguridad. El HTML5 beneficiará mucho a los desarrolladores, no estamos sugiriendo que el W3C lo cambie todo a raíz de este informe, simplemente, los usuarios deben ser conscientes de los riesgos que a los que se enfrentarán.
Marnix Dekker co-autor del estudio dice:
Una conclusión importante de este estudio es que hemos encontrado muchos menos problemas de seguridad que en las versiones anteriores. Esto demuestra el valor de las revisiones que se han hecho y, lógicamente, las que se harán en próximos borradores.
El profesor Udo Helmbrecht es director ejecutivo del ENISA y dieron algunas recomendaciones tambien para el estándar:
El navegador web es ahora uno de los componentes más críticos para la seguridad en esta nueva estructura, un objetivo cada vez más lucrativo para los ciber-atacantes.
Si tiene tantos problemas de seguridad HTML5, deberíamos estar atentos a este informe y las nuevas especificaciones del estándar con la W3C para no tener amenazas en nuestros sitios desarrollados con esta nueva tecnologia.
Via Bitelia
