HTML5 نئے سیکورٹی کے مسائل کو بڑھاتا ہے

جب یہ نئی سیکورٹی مسائل، فائر فاکس براؤزر کے لئے سیکورٹی ٹیم ویب ہائپر ٹیکیکس مارک اپ زبان، ایچ ٹی ایم ایل 5 کے نئے ورژن کو ذہن میں پیش کرتی ہے.

"ویب اطلاقات HTML5 کے ساتھ ناقابل یقین حد تک امیر بن رہے ہیں. براؤزر مکمل طور پر مکمل ایپلی کیشنز کو منظم کرنے کا آغاز کر رہا ہے. اور نہ صرف ویب صفحات، "موڈیلا فاؤنڈیشن کے لئے فائر فاکس سیکورٹی کے مسائل پر کام کرتا ہے جو سائڈ سٹیم نے کہا. اسامہ نے واشنگٹن ڈی سی میں گزشتہ ہفتے منعقد ہونے والے Usenix سیکیورٹی سمپوزیم میں بات کر رہے تھے،

"ہمارے بارے میں سوچنے کی ضرورت بہت زیادہ سطح کی سطح ہے."

ایک ہی ہفتے میں اسٹم نے HTML5، ڈویلپرز پر تشویش کا اظہار کیا. اوپیرا براؤزر کے ایک بفر پر بھروسہ ہوسکتا ہے کہ ان کے استعمال سے استحصال کیا جا سکتا ہے جس سے استحصال کیا جا سکتا ہے. HTML 9 کینوس تصویر رینڈرنگ کی خصوصیت کا استعمال کرتے ہوئے استعمال کیا جا سکتا ہے.

کیا یہ ناگزیر ہے کہ ویب وائٹس کو فروغ دینے کے لئے عالمی وائڈ ویب کنسورشیم (W3C) معیار کا نیا سیٹ، مجموعی طور پر جانا جاتا ہے HTML5 کے طور پر، خطرے کی ایک مکمل بنڈل کے ساتھ آتے ہیں؟ کم سے کم کچھ سیکورٹی محققین سوچ رہے ہیں کہ یہ معاملہ ہے.

"HTML5 ویب کے بہت سے خصوصیات اور طاقت لاتا ہے. آپ سادہ HTML5 اور جاوا اسکرپٹ کے ساتھ بہت زیادہ [بدسلوکی کام] کر سکتے ہیں. "سیکورٹی محقق لیوکرم کوپنپ نے بتایا."

W3C یہ خیال ہے کہ "اس خیال میں اس پورے ریئر کو چالو کرنا ہے جسے ہم براؤزر کے اندر اندر ایپلی کیشنز کو چلانے شروع کر دیں گے، اور ہم نے سالوں میں ثابت کیا ہے کہ کس طرح محفوظ براؤزر ہیں،" کیون جانسن نے کہا، سیکورٹی کنسلٹنگ فرم محفوظ خیالات کے ساتھ ایک رسائی ٹیسٹر. "ہمیں اس بات کو سمجھنے کے لئے واپس جانے کی ضرورت ہے کہ براؤزر ایک خرابی ماحول ہے. ہم اس کی ویب سائٹ کھو چکے ہیں." ​​

اگرچہ اس کے بارے میں ایک تفصیلات کا نام ہے، HTML5 بھی اکثر محتاط مربوط سیٹ کا مجموعہ استعمال کرنے کے لئے استعمال کیا جاتا ہے. معیارات جو، ایک ساتھ لے لیا، مکمل ویب ایپلی کیشنز کی تعمیر کے لئے استعمال کیا جا سکتا ہے. وہ صفحہ فارمیٹنگ، آف لائن ڈیٹا اسٹوریج، تصویر کے فروغ اور دوسرے پہلوؤں جیسے صلاحیتوں کی پیشکش کرتے ہیں. (اگرچہ W3C کی نمائش نہیں ہے، جاوا اسکرپٹ بھی اکثر ان معیاروں میں لپیٹ لیا جاتا ہے، لہذا وسیع پیمانے پر یہ ویب ایپلی کیشنز کی تعمیر میں استعمال کیا جاتا ہے).

سلامتی محققین کی طرف سے یہ سب کی نئی پیشکش کی فعالیت شروع کی جانی چاہئے.

اس موسم گرما سے پہلے ، Kuppan اور ایک دوسرے محقق نے ایچ ٹی ایم ایل 5 آف لائن درخواست کیش کو غلط استعمال کرنے کا ایک طریقہ شائع کیا. گوگل کروم، سفاری، فاکس فاکس اور اوپیرا برائوزر کے بیٹا نے پہلے سے ہی اس خصوصیت پر عملدرآمد کیا ہے، اور اس حملوں کے نتیجے میں اس خطرے کا سامنا کرنا پڑے گا جو اس نقطۂ نظر کا استعمال کرتے تھے.

محققین کا دعوی ہے کہ کسی بھی ویب سائٹ پر کیش بنا سکتے ہیں. صارف کے کمپیوٹر، اور، کچھ براؤزر میں، اس صارف کے واضح اجازت کے بغیر ایسا کرتے ہیں، ایک حملہ آور کسی سائٹ پر ایک سوشل نیٹ ورکنگ یا ای کامرس سائٹ جیسے جعلی لاگ ان صفحہ قائم کرسکتا ہے. اس طرح کے جعلی صفحہ کو صارف کی اسنادوں کو چوری کرنے کے لئے استعمال کیا جا سکتا ہے.

دیگر محققین کو اس تلاش کی قیمت کے بارے میں تقسیم کیا گیا تھا.

"یہ ایک دلچسپ موڑ ہے لیکن ایسا نہیں لگتا کہ نیٹ ورک کے حملہ آوروں کو کیا فائدہ ہے وہ پہلے ہی حاصل کرسکتے ہیں، "کرس ایونز نے مکمل افشاء کرنے والی میلنگ کی فہرست پر لکھا. ایونز بہت محفوظ فائل ٹرانسمیشن پروٹوکول (بمقابلہ) سافٹ ویئر کے خالق ہیں.

سیکیورٹی ریسرچ فرم ریورسنس وینچرز کے چیف سائنس دان دان کامسکی نے اتفاق کیا کہ یہ کام ایچ ٹی ایم ایل 5 سے پہلے تیار ہونے والے حملوں کا تسلسل ہے. "براؤزر صرف مواد کی درخواست نہیں کرتے، اسے فراہم کرتے ہیں اور اسے پھینک دیتے ہیں. وہ بعد میں اسے استعمال کے لۓ ذخیرہ کرتے ہیں … لیوکرم یہ دیکھ رہے ہیں کہ اگلے نسل کیچنگ ٹیکنالوجیز اسی طرح کی گندگی سے متاثر ہوتے ہیں،" انہوں نے ایک ای میل انٹرویو میں کہا..

ناقدین نے اس بات پر اتفاق کیا کہ اس حملے پر براؤزر اور ویب صفحہ سرور کے درمیان ڈیٹا کو خفیہ کرنے کے لئے محفوظ ساکٹ پرت (SSL) کا استعمال نہیں کرتے ہوئے اس سائٹ پر انحصار کرے گا، جو عام طور پر مشق کیا جاتا ہے. لیکن اگر یہ کام کسی نئی قسم کی خطرے سے محروم نہ ہو تو یہ ظاہر ہوتا ہے کہ اس نئے ماحول میں ایک پرانی خطرے کو دوبارہ استعمال کیا جا سکتا ہے.

جانسن کا کہنا ہے کہ، ایچ ٹی ایم ایل 5 کے ساتھ، بہت سے نئی خصوصیات خود کو دھمکیوں کا حامل بناتے ہیں، اس کے نتیجے میں وہ کس طرح کی تعداد میں اضافہ کرتے ہیں جو حملہ آور کو کسی قسم کے نقصانات کے لۓ صارف کے برائوزر کا استعمال کر سکتا ہے.

"سال کے سیکورٹی پر توجہ مرکوز خطرات پر - بفر بہاؤ، SQL انجیکشن کے حملوں. ہم ان کو پیچھا کرتے ہیں، ہم ان کو ٹھیک کرتے ہیں، ہم انہیں نگرانی کرتے ہیں، "جانسن نے کہا. لیکن ایچ ٹی ایم ایل 5 کے کیس میں، یہ اکثر خود کو "خاص طور پر اپنے آپ پر حملہ کرنے کے لئے استعمال کیا جا سکتا ہے.".

ایک مثال کے طور پر، جانسن نے Google کے Gmail کو اشارہ کیا ہے، جو ایچ ٹی ایم ایل 5 کے مقامی اسٹوریج کی صلاحیتوں کا ابتدائی صارف ہے. HTML5 سے پہلے، ایک حملہ آور کو ایک مشین سے کوکیز چوری کرنا پڑا اور ان کو آن لائن ای میل سروس کے پاس پاس ورڈ حاصل کرنے کا فیصلہ کرنا پڑا. اب، حملہ آور صرف صارف کے براؤزر میں داخلہ حاصل کرنے کی ضرورت ہے، جہاں جی میل ان باکس کی ایک نقل کہتی ہے.

"یہ خصوصیت سیٹ خوفناک ہیں". "اگر میں آپ کے ویب ایپلی کیشن میں غلطی تلاش کرسکتا ہوں، اور HTML5 کوڈ انجیکشن کروں گا، میں اپنی سائٹ کو نظر ثانی کرسکتا ہوں اور ایسی چیزوں کو چھپ سکتا ہوں جو میں آپ کو نہیں دیکھنا چاہتا ہوں."

مقامی سٹوریج کے ساتھ، ایک حملہ آور اپنے براؤزر سے ڈیٹا پڑھ سکتا ہے. ، یا آپ کے علم کے بغیر وہاں دیگر اعداد و شمار داخل کریں. جغرافیائی محل وقوع کے ساتھ، ایک حملہ آور آپ کے علم کے بغیر اپنے مقام کا تعین کرسکتا ہے. Cascading Style Sheets (CSS) کے نئے ورژن کے ساتھ، ایک حملہ آور کو کنٹرول کیا جا سکتا ہے جو آپ سی ایس ایس میں اضافہ شدہ صفحے کے عناصر کو دیکھ سکتے ہیں. HTML5 ویب ساکٹ براؤزر کو ایک نیٹ ورک مواصلات اسٹیک فراہم کرتا ہے، جس میں غیر معمولی پچھلے دروازے کے مواصلات کے لئے غلط استعمال کیا جاسکتا ہے.

یہ کہنا نہیں ہے کہ براؤزر کے سازوسامان اس مسئلے سے غفلت مند ہیں. یہاں تک کہ جب وہ نئے معیار کے لئے مدد میں شامل کرنے کے لئے کام کرتے ہیں، تو وہ ان کے غلط استعمال کو روکنے کے طریقے دیکھ رہے ہیں. Usenix سمپوزیم میں، Stamm نے کچھ نئی تکنیکوں کا ذکر کیا ہے کہ فائر فاکس ٹیم کو ان نئی ٹیکنالوجیوں کے ساتھ نقصان پہنچایا جا سکتا ہے.

مثال کے طور پر، وہ ایک متبادل پلگ ان پلیٹ فارم پر جیٹ پی بیک کہتے ہیں، جو کام کرتے ہیں. پلگ ان ان عملوں کو انجام دے سکتا ہے جن کے اعمال پر سخت کنٹرول رکھا جائے گا. "اگر ہمارے پاس [پروگرام پروگرامنگ انٹرفیس] کا مکمل کنٹرول ہے، تو ہم یہ کہہ سکتے ہیں کہ یہ اضافی PayPal.com تک رسائی کی درخواست کر رہا ہے، کیا آپ اسے اجازت دیں گے؟". Stamm نے کہا.

JetPack بھی استعمال کرسکتے ہیں. ایک اعلامیاتی سیکیورٹی ماڈل، جس میں ہر عمل براؤزر میں پلگ ان کا اعلان کرنا ہوگا جس میں یہ عمل کرنا ہے. براؤزر پھر ان پیرامیٹرز کے اندر اندر رہتا ہے اس بات کا یقین کرنے کے لئے پلگ ان کی نگرانی کرے گی.

اب بھی، چاہے براؤزر سازوں HTML5 کو محفوظ کرنے کے لئے کافی کر سکتے ہیں، دیکھنا باقی ہے.

"انٹرپرائز کا اندازہ لگانا شروع ہوتا ہے کہ آیا یہ نئے براؤزرز کو رول کرنے کے لئے ان کی خصوصیات کے قابل ہے، "جانسن نے کہا. "یہ چند بار آپ میں سے ایک ہے جو آپ سن سکتے ہیں، شاید آپ [انٹرنیٹ ایکسپلورر] 6 بہتر تھا."

جوا جیکسن نے انٹرپرائز سوفٹ ویئر اور عمومی ٹیکنالوجی کو آئی ڈی جی نیوز سروس. Joab_Jackson پر ٹویٹر پر جوااب کو فالو کریں. جواب کا ای میل ایڈریس [email protected]