|
阅读:0回复:16
HTML5再曝漏洞 安全性遭质疑
[p=22, null, left][color=rgb(57, 57, 57)]作为新一代Web语言,HTML5凭借丰富应用、跨平台等特点被公认为未来网页技术的发展方向,并且被全球多家主流厂商寄予厚望。然而,在已经过去的一周, 风头正盛的HTML5却遭受了不小的打击。国外媒体爆料,HTML5在Cookie上的巨大漏洞,将可能短时间内挤爆用户的硬盘。这无疑是给支持HTML5的浏览器厂商泼了一盆冷水,也让用户对于HTML5少了一分“迷信”,多了一分理性。[/p][p=22, null, left][color=rgb(57, 57, 57)] HTML5漏洞遭曝光[/p][p=22, null, left][color=rgb(57, 57, 57)] 3月4日,国外媒体的一则报道引发了广泛关注。美国22岁的开发者发现了HTML5的一个致命漏洞——大量的Cookie文件的产生将在很短的时间内挤爆用户的硬盘。据这位开发者解释,HTML5的标准中,可以允许网页在用户电脑中保存比过去多的自己定义数据(方式为Cookie)。过去每一个网站可以保存4KB的数据,而HTML5网站根据规范可以保存的数量为2.5MB~10MB不等。比如,用户每次登录Chrome会保存2.5MB的数据,火狐和Opera会保存5MB,而IE则会保存10MB。同时,根据HTML5的技术规范,网站的子域名在发生登录时,必须共享使用网站的Cookie数据保存空间(不得另开空间),可是Chrome、Safari、IE等浏览器没有遵守这一规则。[/p][p=22, null, left][color=rgb(57, 57, 57)] 或许在很多人看来,如今的硬盘容量足够大,就算浏览器厂商不遵守规则,最终产生的数据量也根本算不了什么。然而令人意想不到的是,如果恶意网站进行精心编码,将会借此侵占用户全部的硬盘空间。根据曝光者进行的概念性攻击模型显示,仅仅需要16秒钟,海量的Cookie文件就占用了用户1GB的硬盘空间。这样的结果意味着,你的平板电脑或者手机的硬盘将因此而“挤爆”。[/p][p=22, null, left][color=rgb(57, 57, 57)] 为了让业界更加重视HTML5存在的隐形安全问题,曝光者已经发布了一组代码来利用该漏洞,并专门创建了一个名为Filldisk的网站。同时,他还将此事件报告给了受到影响的浏览器开发商。不过值得一提的是,目前国内浏览器厂商360已经宣布,在第一时间修复了该漏洞,而用户只需升级浏览器版本就可以保证自己免受攻击。[/p][p=22, null, left][color=rgb(57, 57, 57)] HTML5的漫漫之路[/p][p=22, null, left][color=rgb(57, 57, 57)] 虽然HTML5的漏洞修复工作已经展开,但是这件事情的发生还是给业界提了一个醒儿,作为一项刚刚兴起的技术,HTML5的安全问题需要给予更多关注,尽管早在2011年相关机构和组织就已经开始考虑HTML5的安全问题,并制定了一些技术规范,可是随着HTML5的普及和应用,更多的安全漏洞将出现。而只有充分暴露和修正,未来才能够有足够的安全。[/p][p=22, null, left][color=rgb(57, 57, 57)] 其实,除了安全问题,HTML5的发展还存在诸多的挑战和障碍。3月12日的一则消息,让业界对于HTML5的发展又多了一份担忧。微软对外宣称,将在Windows RT和Windows 8默认启用Flash。对于这一改变,微软的解释是目前绝大多数的Flash内容网站开始兼容Metro下的触摸,使得触摸体验、性能和电池寿命都实现了极大改进,而业界看好并认为可能取代Flash的HTML5,却自2008年第一份草案正式公布后,发展十分缓慢,仍处于完善中。因此在HTML5产品并没有想象中发展那么迅猛的情况下,再加上Flash确实得到了优化,微软在IE10中默认启用Flash,有助于提高用户体验。[/p][p=22, null, left][color=rgb(57, 57, 57)] 从2012年Facebook放弃HTML5,并放言“压宝HTML5是Facebook最大的错误”,到曾经高调支持HTML5的微软也不得不在IE10中默认启用Flash,再加上被媒体高度曝光的漏洞问题,HTML5的发展正在被投下更多的阴影。尤其是在目前标准尚未完善、市场博弈暗流涌动的情况下,人们不禁要对HTML5的未来打上问号。[/p][p=22, null, left][color=rgb(57, 57, 57)] 不过,从长远看HTML5的优势仍然非常明显,主流厂商对其的支持也将发挥更大的作用,且不论HTML5和Flash是否将形成替代关系,HTML5对Web应用的丰富也终将使其在移动互联网时代展现更多“锋芒”。[/p]
|
|
|
地板#
发布于:2013-03-17 21:56
才刚开始没多久
毕竟HTML才刚开始没多久......有各种各样的问题是很正常的...... |
|
|
4楼#
发布于:2013-03-17 23:09
有点伤心
有点伤心。。。我一直以为html5会取代flash的。。。但是现在html仍然没有普及,flash屹立不倒。。。 |
|
|
5楼#
发布于:2013-03-18 01:26
每个技术都有相对应的长短处
每个技术都有相对应的长短处 能够发挥长处才是最重要的 H5用某大牛说的 not best but enough 相信H5会有很光明的应用前景 |
|
|
6楼#
发布于:2013-03-18 09:05
有点伤心
foodszhu 发表于 2013-3-17 23:09 嘛...flash毕竟那么多年了..那是说取代就取代的??而且HTML5也是刚出不久..普及率不高 |
|
|
7楼#
发布于:2013-03-19 23:02
你这个漏洞打算怎么利用呢
你这个漏洞打算怎么利用呢?大门户网站应该不会无聊到干这种事吧?
而且按照各大公司对自己浏览器的设计来说,应该是都注意到这个细节的,但他们看来绝对没有人会去干这种无聊的事,也就是没人把这个当做漏洞,这种报道属于小报纸娱乐性的行为,就像是幼儿园老师给你发小红花一样。 综上,这不是一个合格的漏洞。不用担心html5的发展会因为现在的硬件条件受限制(话说你觉得html5和flash哪个更吃硬件)。 |
|
|
8楼#
发布于:2013-07-07 21:09
目前是不太可能了
额,html5取代flash目前是不太可能了,毕竟相比起来flash对于浏览器的要求么有那么多,不过未来一定会大有作为 |
|
|
13楼#
发布于:2013-08-14 05:21
了下似乎不是
去Google了下似乎不是Cookie漏洞?而是HTML5的新特性LocalStorage(本地存储)的漏洞吧
一般一个Cookie的上限是4k,而LocalStorage是可以开到几MB的。。 Filldisk出处:http://feross.org/fill-disk/ |
|
上一页
下一页
