Выходу новых веб-стандартов грозят многочисленные уязвимости
В процессе создания некоторых новых веб-стандартов, в частности HTML5, есть очевидная вероятность появления угроз безопасности, об этом объявило агенство ENISA в своем докладе после проведения некоторого анализа.
По словам редактора агенства Джайлса Хогбена, в определенные спецификации в скором времени, по мере своей завершенности, станет невозможно вносить коррективы, это повлечет за собой серьезные проблемы связанные с безопасностью, поэтому стоит задуматься о ней до того как стандарты будут утверждены. Таким образом еще есть время защитится, пока идет процесс проектирования, так называемый security-by-design.
Анализу подлежали 13 стандартов, такие как World Wide Web Consortium (W3C)/HTML5, для средств связи — CORS, XHR, API, а также стандарты для геолокации и виджетов.
Большое внимание приделялось проблемам безопасности HTML5, поскольку его позиционируют как приоритетный стандарт разработки веб-сайтов в будущем.
Опасение вызывают вероятность отключения защиты от кликджекинга, недоработка в модуле валидации данных в формах, ну и ряд насущных изъянов, типа бесконтрольный доступ к конфиденциальным данным, неописанные функции, из-за которых могут возникать внезапные ошибки.
Советы ENISA направлены на повышение качества защиты стандартов в вопросах контроля доступа, системы разрешений и введения — т.е. permission awareness indicators.
Консорциум W3C не мог не согласится с мотивированными выводами ENISA и даже было принято решение о том, чтоб агенство консультировало все рабочие группы W3C по любым всплывающим вопросам.