Offline werken maakt webapplicaties onveilig

24/02/09 om 09:00 - Bijgewerkt om 08:59

Bron: Datanews

Webapplicaties die gebruikers offline laten doorwerken, zijn onvoldoende beveiligd tegen database-aanvallen via SQL-injecties op de computer van de klant.

Webapplicaties die gebruikers offline laten doorwerken, zijn onvoldoende beveiligd tegen database-aanvallen via SQL-injecties op de computer van de klant.

Dat demonstreerde 'beveiligingsevangelist' Michael Sutton vorige week op beveiligingsconferentie Black Hat in Washington. Sutton liet zien hoe aanvallers toegang kunnen krijgen tot lokaal opgeslagen betaalgegevens van gebruikers van Paymo.biz. Het beveiligingslek binnen deze online betaalmethode is inmiddels gerepareerd, maar volgens Sutton ligt een soortgelijk gevaar op de loer bij een groeiend aantal sites.

Het probleem wordt veroorzaakt doordat een toenemend aantal webapplicaties klanten toestaat om lokaal gegevens op te slaan, zodat ze offline kunnen blijven verder werken. Voorbeelden van browseropslagtechnieken die dit gevaar met zich meebrengen zijn (Google) Gears, en de databaseopslagfunctionaliteit in een toekomstige versie van het html-protocol (HTML5). Zowel Gears als HTML5-databaseopslag laten webapplicaties toe om inhoud lokaal op te slaan in relationele databanken, door gebruik te maken van het SQLite databaseformaat.

Volgens Sutton zijn dit soort aanvallen niet puur theoretisch. "Het is relatief eenvoudig te doen, omdat XSS (cross-site scripting)-kwetsbaarheden algemeen voorkomen." Volgens Sutton wordt de kans op problemen bovendien alleen maar groter, want er komen steeds meer webapplicaties op basis van Gears. Gebruik van HTML5-databankopslag zal ook niet lang meer op zich laten wachten. Zo gaan de iPhone en Android-gebaseerde toestellen offline toegang tot Gmail bieden via het gebruik van de nieuwe versie van dit internetprotocol.

In samenwerking met Computable

Onze partners