128228

Neue HTML-Funktionen freuen auch Angreifer

31.03.2008 | 08:55 Uhr |

Die noch nicht endgültig verabschiedete Spezifikation für HTML 5 des W3C könnte auch für Datenkraken und Angreifer ein paar neue Möglichkeiten bieten, sobald diese Funktionen in neuen Browser-Generation umgesetzt sind.

Eine neue Browser-Generation steht vor der Tür. Firefox 3, Internet Explorer 8 oder Opera 10 werden bereits Teil der neuen HTML-Funktionen umsetzen, die das Industriekonsortium W3C (World Wide Web Consortium) in seiner Spezifikation für HTML 5 vorsieht. Die Arbeit daran ist zwar noch nicht abgeschlossen, vieles ist jedoch bereits erkennbar, selbst wenn sich Details noch ändern können. Einige der neuen Funktionen sind aus Sicht der IT-Sicherheit bedenklich.

Neben zahlreichen neuen Möglichkeiten für die Strukturierung von Inhalten und die Gestaltung von Web-Dokumenten werden auch neue Elemente eingeführt, die es Websites erlauben Daten auf dem PC des Besuchers abzulegen und später wieder auszulesen. Damit wird jenseits der stets umstrittenen Cookies das so genannte User-Tracking erleichtert. Websites können Benutzer wieder erkennen, die erneut zu Besuch kommen. Werbenetzwerke können dadurch Profile von Internet-Nutzern anlegen, indem sie ihr Verhalten über längere Zeit protokollieren.

Das ist im Grunde nichts Neues - Möglichkeiten zum User-Tracking gibt es auch heute schon genug. Mehr Sorgen machen Sicherheitsfachleuten Funktionen wie etwa die zur lokalen Nutzung von SQL-Datenbanken. Sie sind auch dazu gedacht Web-Anwendungen offline nutzen zu können.

Die neuen Funktionen selbst und ihr denkbarer Missbrauch sind dabei nicht das eigentliche Sorgenkind. Vielmehr stellt ihre Implementierung im Web-Browser eine Herausforderung für die Entwickler dar, die sorgfältig vermeiden müssen alte Fehler immer wieder neu zu begehen. Die fehlerhafte Umsetzung von Funktionen zum Datenaustausch zwischen Websites, Web-Anwendungen und der lokalen Festplatte setzt Internet-Nutzer erheblichen Sicherheitsrisiken aus.

Schon heute basieren viele erfolgreiche Einbrüche in Web-Server auf Angriffen wie SQL-Injektion, die erst durch Programmierfehler auf verschiedenen Ebenen ermöglicht werden. Derartige Angriffe könnten bald auch direkt auf die PCs der Internet-Nutzer zielen. Zweifellos werden kriminelle Hacker bereits die Möglichkeiten ausloten, die sich ihnen in naher Zukunft bieten werden.

Hier sind die Browser-Hersteller und -Entwickler gefordert. Die HTML-5-Spezifikation sieht auch Möglichkeiten vor, wie Browser-Hersteller Sicherheitsmaßnahmen einbauen können. Zum Beispiel wird das Löschen privater Daten beim Beenden von Firefox 3 um einen Punkt erweitert, der Offline-Daten von Websites betrifft. Vor allem jedoch müssen die Entwickler beliebte Fehler wie ungeprüfte Puffer fester Länge vermeiden, durch die die berüchtigten Pufferüberläufe provoziert werden können. Diese erlauben oft das Einschleusen von beliebigem Code, etwa Malware.

Letztlich sind es also nicht die neuen Möglichkeiten von HTML 5, die eine potenzielle Gefahr darstellen, sondern die Wahrscheinlichkeit, dass Entwickler alte Fehler wiederholen werden.

0 Kommentare zu diesem Artikel
128228