Европейское агентство предупреждает о проблемах безопасности HTML5

Европейское агентство по информационной безопасности (ENISA) предупреждает о том, что стандарты, разрабатываемые в рамках HTML5 имеют ряд нюансов, которые могут вызвать большие проблемы с безопасностью.

В понедельник агентство выпустило 61-страничный документ, где проведен подробный анализ HTML5, последней версии языка кодирования веб-страниц, который разрабатывается World Wide Web Consortium (W3C).

В 13 спецификациях ENISA обнаружила 51 проблему касающуюся безопасности. Некоторые из них можно устранить за счет более точного описания, а некоторые, со значительно большим риском, непосредственно следуют из имеющихся HTML5 функций, например form tampering, — о таких необходимо уведомить пользователей. Так, HTML5 позволяет размещать кнопку «подтвердить» в любой части веб-страницы, это означает что в код страницы можно внедрить другой HTML-код, например, отправляющий данные формы на другой сайт.

Как отмечают в ENISA, спецификации HTML5, вероятно, будут использоваться веб-разработчиками на протяжении многих лет (например предыдущая версия HTML4 работает с 1999 г.), потому чрезвычайно важно обеспечить их безопасность. ENISA также выдала ряд рекомендаций, например, о поведении веб-страниц при выполнении пользователем банковских транзакций, пр.

ENISA намерена отослать рекомендации W3C которая, кстати, принимает комментарии к последней версти черновой спецификации HTML5 до сегодняшнего дня. Финальный релиз спецификаций HTML5 ожидается в январе 2012 г.