De European Network and Information Security Agency (ENISA) heeft maandag een rapport van 61 pagina's dik over de veiligheid van HTML5 vrijgegeven. Het is voor het eerst dat een organisatie vanuit beveiligingsperspectief naar de nieuwe specificatie kijkt. Tot dinsdag mogen organisaties op- en aanmerkingen leveren op HTML5.

Specificatie aanpassen

Het doel van ENISA was de specificatie uitgebreid te bekijken voordat alles verankerd is in een standaard. Dat is belangrijk omdat er vervolgens jaren mee gewerkt wordt terwijl er niets veranderd kan worden. Tijdens de uitgebreide analyse vond de Europese organisatie liefst 51 tekortkomingen in HTML5.

Sommige beveiligingsproblemen zijn eenvoudig op te lossen door de specificatie aan te passen, stelt ENISA. Bijvoorbeeld de cache van de Geoloc-Secure-3 api. In die cache wordt de exacte locatie van iemand opgeslagen. Omdat daar nu geen maximum tijdsduur aan verbonden is kan een eventuele inbreker alle bewegingen van iemand zien. Door wel een maximale tijdsduur in te stellen, wordt dat probleem kleiner.

Formulieren vervalsen

Andere risico's liggen niet zozeer in de specificatie maar bij de gebruiker. Die zal voor sommige nieuwe functies gewaarschuwd moeten worden. ENISA is bijvoorbeeld erg bezorgd over de feature in HTML5 waarmee het mogelijk is om een submit-knop voor een formulier overal op de webpagina te plaatsen.

Dat opent deuren voor aanvallers die zo eenvoudiger code voor een eigen submit-knop kunnen injecteren bij een formulier. Als de aandacht van de gebruiker dan naar de kwaadaardige knop toegetrokken wordt zal hij daar eerder op klikken. Alle gegevens, inclusief adressen en betalingsgegevens, worden dan naar een aanvaller gestuurd.

W3C gaat aan de slag

ENISA stelt overigens dat zij niet wil dat standaardenorganisatie W3C deze functie uit de aankomende standaard verwijderd. De feature heeft namelijk heel erg veel voordelen voor ontwikkelaars. “Het is wel zo dat gebruikers op de hoogte moeten zijn van het risico dat deze functie veroorzaakt", aldus de Europese organisatie in haar rapport.

Het W3C laat in een verklaring weten dat met dit rapport de beveiligingsanalyse over een nieuwe specificatie werkt zoals het moet: Onafhankelijke partijen onderzoeken mogelijke beveiligingsproblemen en de werkgroepen van W3C analyseren de issues en lossen ze op. Het W3C zegt samengewerkt te hebben met ENISA om het rapport goed en op tijd af te krijgen.