雅虎(Yahoo)资深JavaScript架构师暨技术传教士Douglas Crockford在上周在台湾开放原始码开发者大会(Open Source Developers' Conference Taiwan;OSDC.TW)时表示，全球资讯网大会(W3C)在制订HTML 5的标准时，没有将安全性列为首要考量，而是强调新增功能，这将不利于新一代网络的发展。

　　他举例说明HTML 5还没有解决的问题。其一就是14年前浏览器问世时，就存在的跨网站攻击程序(XSS) ：黑客可以撷取在网页上呈现的资料，例如广告和Widget，进而和使用者沟通，将使用者的资料传送到其他台服务器。

　　“虽然雅虎有和Google合作，提供Caja工具，可以把在网页上的资料包起来，不被拦截走。但是这项技术是权宜之计：已经问世了两年，再过一段时间还是有可能被攻破，”Crockford坦言道。

　　而HTML 5会因小失大的部分在于，HTML 5虽然新增了本地端数据库(Local DB)功能，期望能够提升网页应用的运作效率;但在没有配套的安全机制下，黑客反而会存取用户端的资料。 Crockford以移动装置为例，黑客可以通过GPS，知道使用者所在位置，或者启动网络摄影机等。

　　“想想看，黑客可能会知道我们的小孩子现在位于那里，”Crockford表示这有可能引发单纯攻击以外的犯罪行为。

　　他表示，HTML 5新增的功能，将让网页更为复杂，使得黑客更容易找到漏洞。

　　“我们的确需要新的标准，但是不能因此而忽略安全。我希望规格制订者可以重排优先顺序，”Crockford说。

　　只不过短时间看来，HTML 5的标准要更为安全，还需要一段时间。 Crockford指出安全性设计要等到HTML 5规格确定后才会出炉。但是HTML 5是一项庞大的计划，难以预测最终版本上路的时间点。