天下网吧 >> 网吧天地 >> 网吧行业 >> 网络追踪 >> 正文

JavaScript专家:HTML 5不够安全

2010-4-30ZDnetZDnet
     在苹果、微软和谷歌纷纷表达对HTML 5的好感之际,专家警告道,要是HTML 5不够安全,用浏览器拿来取代操作系统或应用程序的那一天,仍然遥不可及。

  雅虎(Yahoo)资深JavaScript架构师暨技术传教士Douglas Crockford在上周在台湾开放原始码开发者大会(Open Source Developers' Conference Taiwan;OSDC.TW)时表示,全球资讯网大会(W3C)在制订HTML 5的标准时,没有将安全性列为首要考量,而是强调新增功能,这将不利于新一代网络的发展。

  他举例说明HTML 5还没有解决的问题。其一就是14年前浏览器问世时,就存在的跨网站攻击程序(XSS) :黑客可以撷取在网页上呈现的资料,例如广告和Widget,进而和使用者沟通,将使用者的资料传送到其他台服务器。

  “虽然雅虎有和Google合作,提供Caja工具,可以把在网页上的资料包起来,不被拦截走。但是这项技术是权宜之计:已经问世了两年,再过一段时间还是有可能被攻破,”Crockford坦言道。

  而HTML 5会因小失大的部分在于,HTML 5虽然新增了本地端数据库(Local DB)功能,期望能够提升网页应用的运作效率;但在没有配套的安全机制下,黑客反而会存取用户端的资料。 Crockford以移动装置为例,黑客可以通过GPS,知道使用者所在位置,或者启动网络摄影机等。

  “想想看,黑客可能会知道我们的小孩子现在位于那里,”Crockford表示这有可能引发单纯攻击以外的犯罪行为。

  他表示,HTML 5新增的功能,将让网页更为复杂,使得黑客更容易找到漏洞。

  “我们的确需要新的标准,但是不能因此而忽略安全。我希望规格制订者可以重排优先顺序,”Crockford说。

  只不过短时间看来,HTML 5的标准要更为安全,还需要一段时间。 Crockford指出安全性设计要等到HTML 5规格确定后才会出炉。但是HTML 5是一项庞大的计划,难以预测最终版本上路的时间点。

本文来源:ZDnet 作者:ZDnet

声明
声明:本站所发表的文章、评论及图片仅代表作者本人观点,与本站立场无关。文章是出于传递更多信息之目的。若有来源标注错误或侵犯了您的合法权益,请作者持权属证明与本网联系,我们将及时更正、删除,谢谢。 Email:support@txwb.com,系统开号,技术支持,服务联系微信:_WX_1_本站所有有注明来源为天下网吧或天下网吧论坛的原创作品,各位转载时请注明来源链接!
天下网吧·网吧天下
  • 本周热门
  • 本月热门
  • 阅读排行