欧盟计算机安全局警告HTML5安全隐患

欧盟计算机安全局发出警告:由于HTML5的部分代码正在重写,其并不完善的标准可能会忽略一些重要的安全问题。本周一,欧洲网络与信息安全局(ENISA)发布了一份分析HTML5的长达61页的文档,这是对网络编码基本语言HTML5的最新一份规范单。HTML5由世界万维网联盟(W3C)所编辑。截止到周二,W3C接受对其最新HTML5草案的评论,而ENISA刚好提前一天完
成了其建议书。ENISA安全服务项目经理Giles Hogben说:“特别的事情在于这是第一次有人从安全角度来总体看待这些成套的规范”。HTML5规范极为重要,因为接下来几年,应用程序设计师和网络开发商要使用HTML5作为规范标准。要知道上一代的HTML4规范自从1999年以后就一直在使用。如果针对浏览器的该规范还不能达到标准,
那么普通消费者与企业用户将会被置于风险之中。现在每个人都在使用浏览器做
各类事情,因而规范相当重要。ENISA查看了HTML5内的13个规范,发现了51个安全问题。一些问题能通过微小的调整解决,然而其他的问题更多是基于用户需要被提醒注意的功能之上。在建议书中,其中一个让ENISA担忧的功能是
所谓的“表单篡改”。HTML5规范允许通过点击“提交”按钮将基于网络的表单安放到网页上的任意位置,这意味着攻击者可能会感染网页上其他的HTML。比如点击一个不同的表单按键
就会导致表单中的信息被发送给攻击者,而不是合法的网站。Hogben接着说道:“
新的功能设计是为了便于开发者。我们并不是在暗示W3C应该取消这项功能,只是说用户应该小心由此带来的风险。”ENISA也对如何使用浏览器
提出了建议,比如用户做在线银行交易时,应该使用不同的浏览器,或者在使用多选项卡浏览器时至少有“沙盒式的会话”。沙盒式的浏览器会话可以避免其他的选项卡(可能包含攻击页面)利用宽松的设置或权限设置来攻击整个浏览器应用程序。ENISA计划将其建议书寄送给个人WEC工作组,这些工作组将会在2012年1月以前修订好规范。

时间: 2024-10-13 11:15:12

欧盟计算机安全局警告HTML5安全隐患的相关文章

如何解除“该网站可能会损害您的计算机”病毒警告

为什么网站在GOOGLE搜索结果中会显示" 该网站可能含有恶意软件,有可能会危害您的电脑."? 经常使用Googe 搜索的人应该都已经在搜索结果页面SERPs 中看到过这样的提示:"网站可能会损害您的计算机."或"This site may harm your computer".网站只所以会出现"该网站可能会损害您的计算机"的提示,是因为Google 搜索引擎蜘蛛抓取某个网页或网站时,发现页面上有病毒.木马或其他对计算机存在

如何去除Google恶意软件警告提示?

GOOGLE在今年六月份就推出了"该网站可能会损害您的计算机"的警告功能,而标准是与StopBadware.org 合作的,当时推出的时候并没有在意,也认为是个很好的功能,简单的看了一下黑板报的操作指南,根据以往的经验GOOGLE的帮助文件写的都是非常详细而且有效,本想,万一遇到这种情况照着哪篇文章做应该问题就可以解决. 1.搜索按照GG指南里的操作有一些小细节需要注意,按照提供的地址http://stopbadware.org/home/review搜索的时候最开始我怎么也搜不到我的

《HTML5实战》——第1章 HTML5:从文档到应用的转变1.1 探索标记语言:HTML5速览

第1章 HTML5:从文档到应用的转变 本章主要内容 HTML5的基本知识 新语义标记及媒体特性 新的JavaScript API 紧密相关的Web规范 HTML5是现在Web开发的最热门主题之一,这是有充分理由的.这不仅因为它是最新的Web标记语言,还因为它制定了Web应用开发的一整套新标准.上一个版本的HTML语言(以及它那以严格著称的基于XML的兄弟:XHTML)主要把HTML限定为一种用于页面文档的标记性语言.HTML5则是第一个将Web作为应用开发平台的HTML语言. HTML5定义了

NASA服务器被曝存在重大安全隐患

美国航空航天局(NASA)的安全负责人今天宣称,NASA的计算机服务器存在重大安全隐患,不法分子完全可以通过互联网发动攻击.NASA监察长Paul Martin在今天的一次NASA网络安全审查会上表示:"我们发现整个NASA机构内的任务网络上存在高风险的漏洞,在互联网攻击面前暴露无遗,特别是六台控制航天器飞行.包含敏感数据的计算机服务器存有远程攻击漏洞,远程攻击者能够控制 它们或者使之不可用."报告进一步指出,如果有人借此渗透进了NASA的计算机网络,就能以这些计算机为跳板,进一步利用

英国公司拿下欧盟5800万英镑间谍无人机订单

马泰克海事有限公司宣称,其与欧盟海事安全局(EMSA)签订价值5800万英镑的合同,会将产品应用到边境控制活动.搜救行动和污染监视,以及非法捕捞.药品走私和人口贩卖的侦测. 除了无人机之外,马泰克还将供应其导航.任务控制系统和地勤. 无人机通常从附近的舰船上起飞,然后传回实时视频和某些"传感器"数据. 马泰克实际上不是专门的无人机公司,它供应的是各种各样的海事技术,比如远程医疗和系统监视. EMSA合同中的无人机规范要求紧凑设计,除了能从海滨和舰船上垂直起降,还必须非常灵活机动. 马泰

沈昌祥:让微软在中国市场守法

日前,中国工程院院士.海军计算技术研究所高级工程师沈昌祥在第三届国家网络安全宣传周上获颁"2016年网络安全杰出人才奖". 对这位76岁的科学家而言,荣誉并不罕见.他曾获得国家科技进步一等奖2项.二等奖3项.三等奖3项,军队科技进步奖十多项.但有关网络安全的国家级人才奖,还是沈昌祥的第一个,也是全国的第一个. "不要以为网络安全就是个人身份信息在网上被泄露.银行卡钱丢了,从去年乌克兰遭遇的大面积停电来看,信息化时代网络安全还有可能会让飞机掉了.火车撞了.供电停了.生活工作一片

英特尔被巨额罚单对反垄断的启示

近日,欧盟以阻挠竞争对手AMD市场竞争为由,向英特尔课以高达10.6亿欧元(约合14.5亿美元)的罚款,为反垄断案中数额最大的一笔罚金.其中有几个关键点:欧盟要求英特尔立即停止违法行为:欧盟称英特尔的行为损害了"数百万欧盟消费者":欧盟对英特尔罚款是英特尔08年营收的4.15%:欧盟称英特尔向电脑制造商付费以推迟或取消基于对手处理器的产品型号:欧盟称英特尔向主要零售商付费以排除基于对手处理器的电脑销售. 其中欧盟竞争委员会官员尼利·科洛斯(Neelie Kroes)表示:"多

简简单单帮你的电脑也进行一次全面体检

15日,同事李先生告急:原本漂亮的桌面被一张黑乎乎的纸盖住了,没有办法去除. 19日,同事王先生告急:IE主页被修改为"www.topo***.com",且电脑无法上网. 20日21日,客户董先生连续两次打来电话:拨号连接正常,能进入联众世界,但无法浏览网页,打开IE后一片空白. 仅一个星期,我就接到了三个客户的SOS,经查,都是木马在作怪,还有一个黑客程序. 以上这些木马都是显性的,是我们能够看见的,还有许多是偷偷进入我们的电脑,潜伏在我们的电脑中,偷窃我们的资料. 电脑的健康状况让

浅谈如何做好计算机网络安全管理工作

[硅谷网10月12日讯]据<科技与生活>杂志2012年第15期载文称,在 网络环境下,安全问题是不可避免的.本文主针对如 何做好计算机网络安全管理工作进行了简单分析和探讨. 关键词计算机:网络安全管理:探讨 网络安全是 互联网发展过程中面临的一个巨大的潜在的问题,提高计算机网络安全技术水平, 改善计算机网络的安全现状,成为计算机网络安全工作的当务之急.因此,对于做好计算机网络安全 管理工作的探讨有其必要性. 1计算机网络安全管理的因素 1.1计算机系统 在计算机操作系统中,其本身就存在着一定的