HTML5 নতুন নিরাপত্তা সমস্যা উত্থাপন করে

যখন নতুন নিরাপত্তা আসে সমস্যাগুলি, ফায়ারফক্স ব্রাউজারের জন্য নিরাপত্তা দল ওয়েব হাইপারটেক্সট মার্কআপ ল্যাঙ্গুয়েজ, এইচটিএমএল 5 এর নতুন সংস্করণ আছে, মনের মধ্যে সর্বাধিক।

"ওয়েব অ্যাপগুলি HTML5 এর সাথে অবিশ্বাস্যভাবে সমৃদ্ধ হচ্ছে। ব্রাউজার সম্পূর্ণ বোড়ের অ্যাপ্লিকেশনের পরিচালনা শুরু করছে এবং শুধু ওয়েব পেজ নয়, "সিড স্টাম বলেন, মোজিলা ফাউন্ডেশনের ফায়ারফক্সের নিরাপত্তার সমস্যা নিয়ে কাজ করে। স্টাম্প উসেনিক্স সিকিউরিটি সিম্পোজিয়ামে গত সপ্তাহে ওয়াশিংটন ডি সি

অনুষ্ঠিত হয়। তিনি বলেন, "আমাদের আক্রমণাত্মক আক্রমণাত্মক কিছু রয়েছে।"

একই সপ্তাহে স্টাম্প HTML5 এর উপর উদ্বেগ প্রকাশ করে, ডেভেলপাররা অপেরা ব্রাউজারের একটি ব্যারফর্ম ওভারফ্লো দুর্বলতা নিখুঁত ছিল যা HTML5 ক্যানভাস ইমেজ-রেন্ডারিং বৈশিষ্ট্য ব্যবহার করে শোষিত হতে পারে।

এটা অনিবার্য যে ওয়ার্ল্ড ওয়াইড ওয়েব কনসোর্টিয়ামের (W3C) ওয়েব পেজ রেন্ডারিংয়ের জন্য নতুন সেট, সম্মিলিতভাবে পরিচিত HTML5 হিসাবে, দুর্বলতার একটি সম্পূর্ণ নতুন বান্ডিলের সাথে আসা? কমপক্ষে কিছু নিরাপত্তা গবেষক এই বিষয়ে ভাবছেন।

"HTML5 ওয়েবকে অনেকগুলি বৈশিষ্ট্য এবং ক্ষমতা নিয়ে আসে। আপনি প্লেইন HTML5 এবং জাভাস্ক্রিপ্টের সাথে আরও অনেক কিছু করতে পারেন যা আগে কখনো সম্ভব ছিল না।, "নিরাপত্তা গবেষক লাউকুমার কুপ্পান বলেন।

W3C" এই ব্রাউজারের মধ্যে অ্যাপ্লিকেশনগুলি চালনা শুরু করবে এবং আমরা কত বছর ধরে সুরক্ষিত ব্রাউজারগুলি প্রমাণ করেছি তা নিয়ে এই ধারণাটি সম্পূর্ণ নতুন করে সাজানো হয়েছে ", কেভিন জনসন বলেন, নিরাপত্তা পরামর্শদাতা দৃঢ় নিরাপদ ধারণা সঙ্গে একটি অনুপ্রবেশ পরীক্ষক। "ব্রাউজারটি একটি দূষিত পরিবেশ বোঝার জন্য আমাদের ফিরে যেতে হবে। আমরা সেই সাইটটি হারিয়ে ফেলেছি"।

যদিও এটি নিজেই একটি স্পেসিফিকেশন নামে পরিচিত, HTML5 প্রায়ই ব্যবহার করা হয় আবর্জনাপূর্ণ সম্পর্কযুক্ত সেট মানগুলির যে, একসাথে নেওয়া, পূর্ণাঙ্গ ওয়েব অ্যাপ্লিকেশনগুলি তৈরি করতে ব্যবহার করা যেতে পারে। তারা পৃষ্ঠা ফরম্যাটিং, অফলাইন ডেটা স্টোরেজ, চিত্র উপস্থাপনা এবং অন্যান্য দিকগুলির মত ক্ষমতাগুলি অফার করে। (যদিও W3C spec না, জাভাস্ক্রিপ্টটি প্রায়ই এই মানগুলিতে প্রবাহিত হয়, তাই এটি ওয়েব অ্যাপ্লিকেশন নির্মাণে ব্যাপকভাবে ব্যবহার করা হয়।)

নিরাপত্তা গবেষকরা এই নতুন প্রস্তাবিত কার্যপ্রণালীটি আবিষ্কার করতে শুরু করেছেন।

এর আগে এই গ্রীষ্মে, কুপ্পান এবং অন্য গবেষক HTML5 অফলাইন অ্যাপ্লিকেশন ক্যাশের অপব্যবহারের একটি উপায় পোস্ট করেছেন। গুগল ক্রোম, সাফারি, ফায়ারফক্স এবং ওপেরা ব্রাউজারের বিটা ইতিমধ্যেই এই বৈশিষ্ট্যটি প্রয়োগ করেছে, এবং এই পদ্ধতির ব্যবহার করে যে আক্রমণগুলি প্রবল হয়ে উঠবে, তারা উল্লেখ করেছে।

গবেষকরা বলছেন যে কোন ওয়েব সাইট ক্যাশ তৈরি করতে পারে ব্যবহারকারীর কম্পিউটার, এবং, কিছু ব্রাউজারে, সেই ব্যবহারকারীর স্পষ্ট অনুমতি ছাড়াই তা করে, একটি আক্রমণকারী একটি সামাজিক নেটওয়ার্কিং বা ই-কমার্স সাইটের মতো কোনও জাভাস্ক্রিপ্ট লগ-ইন পৃষ্ঠা সেট আপ করতে পারে। এই ধরনের জাল পাতা ব্যবহারকারীর শংসাপত্রগুলি চুরি করতে ব্যবহার করা যেতে পারে।

অন্য গবেষকগণ এই খোঁজার মূল্য সম্পর্কে বিভক্ত হয়ে পড়ে।

"এটি একটি আকর্ষণীয় মস্তিষ্ক কিন্তু এটি নেটওয়ার্ক আক্রমণকারীরা কি কোনও অতিরিক্ত সুবিধা প্রদান করে বলে মনে হচ্ছে না তারা ইতিমধ্যে অর্জন করতে পারেন, "ক্রিস ইভান্স সম্পূর্ণ ডিসক্লোজার মেইলিং লিস্টে লিখেছেন। ইভান্স অত্যন্ত নিরাপদ ফাইল ট্রান্সফার প্রোটোকল (বিএসএফপিপি) সফটওয়্যারের সৃষ্টিকর্তা।

স্যামসাং রিসার্চ ফার্মের পুনর্নশন ভেঞ্চারের প্রধান বিজ্ঞানী ড্যান কামিনস্কি, এই কাজটিকে HTML5 এর আগে বিকাশের এক ধারা অব্যাহত রাখার জন্য সম্মত হয়েছে। "ব্রাউজার শুধু কন্টেন্ট অনুরোধ, এটি রেন্ডার না, এবং এটি নিক্ষেপ করা হয়। তারা পরে ব্যবহার করার জন্য এটি সংরক্ষণ … Lavakumar পরের প্রজন্মের ক্যাশে প্রযুক্তি এই একই বৈশিষ্ট্য ভোগ করে যে পর্যবেক্ষক হয়," তিনি একটি ই-মেইল সাক্ষাত্কারে বলেন, ।

সমালোচকরা সম্মত হন যে এই আক্রমণটি ব্রাউজার ও ওয়েব পৃষ্ঠা সার্ভারের মধ্যে তথ্য এনক্রিপ্ট করার জন্য সিকিউর সকেটস লেয়ার (এসএসএল) ব্যবহার না করে এমন একটি সাইটে নির্ভর করবে, যা সাধারণত প্রচলিত হয়। কিন্তু এই কাজটি যদি নতুন ধরনের দুর্বলতা খুঁজে না পেত, তবে দেখা যায় যে এই নতুন পরিবেশে পুরোনো দুর্বলতার পুনঃব্যবহার করা যেতে পারে।

জনসন বলেছেন যে, HTML5 এর সাথে অনেকগুলি নতুন বৈশিষ্ট্যগুলি তাদের নিজস্ব হুমকির সৃষ্টি করে, যেহেতু আক্রমণকারীরা কোনও ধরণের ক্ষতির জন্য ব্যবহারকারীর ব্রাউজারকে ব্যবহার করতে পারে এমন উপায়গুলির সংখ্যা বৃদ্ধি করে।

"বছর ধরে নিরাপত্তা জালিয়াতি - বফার ওভারফ্লো, এসকিউএল ইনজেকশন আক্রমণ। আমরা তাদের প্যাচ, আমরা তাদের ঠিক করি, আমরা তাদের নিরীক্ষণ, "জনসন বলেন। কিন্তু HTML5 এর ক্ষেত্রে, এটি প্রায়ই বৈশিষ্ট্যগুলি "নিজেদের আক্রমণ করার জন্য ব্যবহার করা যায়"। তিনি বলেন।

উদাহরণস্বরূপ, জনসন Google এর Gmail এর দিকে নির্দেশ করে, যা HTML5 এর স্থানীয় স্টোরেজ ক্ষমতাগুলির প্রথম ব্যবহারকারী। HTML5 আগে, একটি আক্রমণকারীকে একটি মেশিন থেকে কুকিজ চুরি করতে হবে এবং একটি অনলাইন ই-মেইল পরিষেবাতে পাসওয়ার্ড পেতে ডিকোড করতে হতে পারে। এখন, আক্রমণকারীকে শুধুমাত্র ব্যবহারকারীর ব্রাউজারে প্রবেশ করতে হবে, যেখানে জিমেইল ইনবক্সের একটি কপি কপি করে।

"এই ফিচার সেটগুলি ভীতিকর," তিনি বলেন। "যদি আমি আপনার ওয়েব অ্যাপ্লিকেশনে একটি ত্রুটি খুঁজে পেতে পারি, এবং HTML5 কোড ইনজেক্ট করি, আমি আপনার সাইটকে সংশোধন করতে পারি এবং আমি যে জিনিসগুলি দেখতে চাই না সেগুলি লুকাই।"

স্থানীয় স্টোরেজ সহ, একজন আক্রমণকারী আপনার ব্রাউজার থেকে ডেটা পড়তে পারে, বা আপনার তথ্য ছাড়া সেখানে অন্যান্য তথ্য সন্নিবেশ করুন। ভৌগোলিকভাবে, কোনও আক্রমণকারী আপনার জ্ঞান ছাড়াই আপনার অবস্থান নির্ধারণ করতে পারে। ক্যাসকেডিং স্টাইল শীটস (CSS) এর নতুন সংস্করণ সহ, একটি আক্রমণকারী আপনি দেখতে পারেন এমন একটি CSS- উন্নত পৃষ্ঠার উপাদানগুলিকে নিয়ন্ত্রণ করতে পারে। HTML5 ওয়েবসকেট ব্রাউজারে একটি নেটওয়ার্ক যোগাযোগের স্ট্যাক সরবরাহ করে, যা গুপ্তচরবৃত্তির গোপনীয়তার জন্য অপব্যবহার করা যেতে পারে।

এটি এমন নয় যে ব্রাউজার প্রস্তুতকারীরা এই সমস্যাটি অবগত নয়। এমনকি তারা নতুন মানগুলির জন্য সমর্থন যোগ করার জন্য কাজ করলেও, তারা তাদের অপব্যবহার রোধ করার উপায়গুলি খুঁজছে। ইউসেনIX সিম্পোজিওমে, স্টামম কিছু কৌশল উল্লেখ করেছে যা ফায়ারফক্স টিম এই নতুন প্রযুক্তির সাথে সম্পৃক্ত ক্ষতির পরিমাণ কমানোর চেষ্টা করছে।

উদাহরণস্বরূপ, তারা একটি বিকল্প প্লাগ-ইন যা জেটপ্যাক নামে পরিচিত, কাজ করছে একটি প্লাগ ইন চালানো করতে পারে কি কি কর্ম কঠোর নিয়ন্ত্রণ রাখতে হবে। "যদি আমরা [অ্যাপ্লিকেশন প্রোগ্রামিং ইন্টারফেসের সম্পূর্ণ নিয়ন্ত্রণ] থাকি, তাহলে আমরা বলব যে এই অ্যাড-অনটি Paypal.com অ্যাক্সেসের অনুরোধ করছে, আপনি কি এটি অনুমোদন করবেন?" স্টাম্প বলেন।

JetPack এছাড়াও ব্যবহার করতে পারে একটি ঘোষণামূলক নিরাপত্তা মডেল, যা প্লাগ-ইনটিকে অবশ্যই ব্রাউজারে প্রতি পদক্ষেপের জন্য ঘোষণা করতে হবে। ব্রাউজারটি তখন এই প্যারামিটারগুলির মধ্যে থাকা নিশ্চিত করার জন্য প্লাগ-ইন নিরীক্ষণ করবে।

এখনও, ব্রাউজার প্রস্তুতকারীরা HTML5 নিশ্চিত করার জন্য যথেষ্ট করতে পারে কিনা, সমালোচকদের যুক্তি দেখা যায়।

"এন্টারপ্রাইজটি মূল্যায়ন শুরু করতে হবে এটি নতুন ব্রাউজার রোল আউট এই বৈশিষ্ট্য মূল্যবান, "জনসন বলেন। "এটি আপনি কয়েকবার শুনতে পারেন 'আপনি জানেন, হয়তো [ইন্টারনেট এক্সপ্লোরার] 6 ভালো ছিল।"