Skip to content
02/08/2011 / Roberto Gimenez

União Europeia alerta para problemas de segurança do HTML5

Bloco econômico encontrou 51 vulnerabilidades, mas algumas são inerentes ao padrão. Usuários terão de tomar cuidado para não cair em armadilhas.

A agência de segurança digital da União Europeia (ENISA, na sigla em inglês) alerta que os padrões sobre os quais o HTML5 está sendo desenvolvido negligenciam importantes questões quanto à proteção contra ataques. Nesta segunda-feira (1/08) ela divulgou um documento de 61 páginas, no qual analisa as especificações da tecnologia.

O HTML5 é de responsabilidade do Consórcio World Wide Web (W3C). A organização aceita comentários a respeito da última prévia do HTML5 – liberada há dez dias – até essa terça-feira (2/08), ou seja, a União Europeia enviou suas sugestões pouco antes do término do prazo.

“Penso que é importante que, logo no primeiro rascunho, já se observe as especificações tendo a segurança como uma das prioridades”, afirmou Giles Hogben, diretor da agência. Ele destaca a importância dessas diretrizes, pois serão usadas como referências por muitos anos – tal qual o que ocorreu com o HTML4, cujas especificações foram liberadas em 1999.

Se, por exemplo, os códigos quanto ao uso da tecnologia em navegadores não forem bem estudados, usuários finais e corporativos estarão em risco. “Todos utilizam browsers nos dias de hoje”, disse Hogben. “É uma questão crucial”.

A ENISA encontrou 51 vulnerabilidades. Alguns dos problemas podem ser corrigidos a partir de simples mudanças, outras são inerentes aos próprios recursos, de modo que os usuários devem ser alertados para se protegerem. Uma das funções que chamaram a atenção da agência corresponde aos novos tipos de formulários a serem usados.

Com o HTML5 será possível inserir um botão em uma página com formulários, posicionando-o em qualquer lugar. Segundo os especialistas, crackers poderão tirar proveito do recurso, colocando seu próprio ícone no portal, e levando usuários a clicarem onde não deveriam, enviando dados confidenciais aos criminosos.

“Não estamos recomendado que o recurso seja retirado, apenas queremos que os usuários tenham acesso às informações necessárias para que não caiam em golpes”, ressaltou Hogben.

A agência também fez recomendações quanto ao modo como os internautas devem se comportar na hora de fazer transações financeiras. Eles devem usar diferentes navegadores ou, pelo menos, ativar o sand boxing, quanto abrirem múltiplas abas. Isso evitará com que o invasor, ao comprometer uma página, espalhe sua praga para outros locais que não a própria aba infectada.

A ENISA continuará enviando suas conclusões aos grupos envolvidos com o W3C. Em janeiro de 2012, novas especificações deverão ser liberadas, tendo em conta as sugestões recebidas.

(Jeremy Kirk)
 
*********************************
Conheça o WEBTITAN

Poderosa solução de “Web Filtering” que provê ricas funcionalidades e permite o gerenciamento e a proteção dos usuários quando estão navegando na internet.

Anúncios

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s

%d blogueiros gostam disto: