雅虎(Yahoo)资深JavaScript架构师暨技术传教士Douglas Crockford在上周在台湾开放原始码开发者大会(Open Source Developers' Conference Taiwan;OSDC.TW)时表示,全球资讯网大会(W3C)在制订HTML 5的标准时,没有将安全性列为首要考量,而是强调新增功能,这将不利于新一代网络的发展。
他举例说明HTML 5还没有解决的问题。其一就是14年前浏览器问世时,就存在的跨网站攻击程序(XSS) :黑客可以撷取在网页上呈现的资料,例如广告和Widget,进而和使用者沟通,将使用者的资料传送到其他台服务器。
“虽然雅虎有和Google合作,提供Caja工具,可以把在网页上的资料包起来,不被拦截走。但是这项技术是权宜之计:已经问世了两年,再过一段时间还是有可能被攻破,”Crockford坦言道。
而HTML 5会因小失大的部分在于,HTML 5虽然新增了本地端数据库(Local DB)功能,期望能够提升网页应用的运作效率;但在没有配套的安全机制下,黑客反而会存取用户端的资料。 Crockford以移动装置为例,黑客可以通过GPS,知道使用者所在位置,或者启动网络摄影机等。
“想想看,黑客可能会知道我们的小孩子现在位于那里,”Crockford表示这有可能引发单纯攻击以外的犯罪行为。
他表示,HTML 5新增的功能,将让网页更为复杂,使得黑客更容易找到漏洞。
“我们的确需要新的标准,但是不能因此而忽略安全。我希望规格制订者可以重排优先顺序,”Crockford说。
只不过短时间看来,HTML 5的标准要更为安全,还需要一段时间。 Crockford指出安全性设计要等到HTML 5规格确定后才会出炉。但是HTML 5是一项庞大的计划,难以预测最终版本上路的时间点。