HTML5 en 12 andere nieuwe W3C-standaarden werden in opdracht van het Europese securityagentschap Enisa doorgelicht, met aandacht voor 50 pijnpunten en mogelijke oplossingen.
HTML5 en 12 andere nieuwe W3C-standaarden werden in opdracht van het Europese securityagentschap Enisa doorgelicht, met aandacht voor 50 pijnpunten en mogelijke oplossingen.
Zowel de vernieuwing van bestaande standaarden als HTML, als een reeks nieuwkomers (zoals voor geolocatiediensten) en api’s komen in een stadium waarin ze definitieve vorm krijgen. Het European Network and Information Security Agency (Enisa) vroeg de DistriNet Research Group aan de KU Leuven om een securityanalyse van 13 W3C-standaarden te maken, die nu werd gepubliceerd als ‘A security analysis of next generation web standards‘.
In totaal werden een vijftigtal pijnpunten behandeld, van verschillend belang. Dat gaat van onvoldoende gedefinieerde of niet-veilige specificaties, tot problemen die concreet tot het lekken van belangrijke informatie of het misbruik van toepassingen kunnen leiden. De studie doet concrete aanbevelingen aan zowel de W3C- en de browserproducenten, als aan ontwikkelaars van webapplicaties en eindgebruikers.
Toestemmingen Zo zou op termijn wellicht beter een afzonderlijke specificatie worden geformuleerd om (in het kader van een grote verscheidenheid aan toepassingen en diensten) op een uniforme wijze toestemming te verlenen betreffende het gebruik van informatie en dies meer. Een andere aanbeveling betreft de mogelijkheid om gebruik te maken van vooraf gedefinieerde securityprofielen, of de mogelijkheid om met de hulp van bijvoorbeeld een ‘wizard’ die makkelijker zelf te kunnen aanmaken.
Bij dat alles blijft het security-inzicht en vakkennis van de webapplicatieontwikkelaar wel van het grootste belang. De verbetering van dat inzicht is een traag proces, stelt prof. Frank Piessens (departement computerwetenschappen), ook al omdat de mogelijke probleempunten veranderen (het ‘buffer overflow probleem’ van in C geschreven software heb je bijvoorbeeld niet meer in Java of C#). “Ondertussen besteden we wel al zo’n 10 jaar intensief aandacht aan dat probleem in het vak ‘Ontwikkeling van veilige software'”, aldus Piessens, die tevens meewerkt aan de jaarlijkse ‘secappdev’-cursus door Solvay Brussels School en de KU Leuven.
Wat de W3C betreft, stelt Philippe De Ryck, hoofdauteur van de studie, “is er zeker bereidheid om aan deze punten te werken.” De studie kwam net voor de deadline van het melden van problemen uit en de belangrijkste punten werden al op de mailinglist naar de betrokken verantwoordelijken gezet. Voorts blijkt ook bij de browserbouwers belangstelling te bestaan om een probleem als het verlenen van toestemmingen op een meer uniforme wijze aan te pakken.
