HTML5开发移动应用 安全要放在首位

新的性能同时也意味着新的挑战，网络开发人员和管理员需要将HTML5安全性视为重中之重的问题。

HTML5作为一种约定俗成的标准，推出了具有商业价值的基于PC浏览器的应用程序新服务，这同时也是移动应用程序领域内最具影响力的举动。针对HTML5安全性，企业架构师们需要采用一种谨慎而又全局的方法，以确保在缺陷问题出现之前就已经设计出应对方案。

“移动战略合作伙伴”的创始人、互联网安全咨询师 David Eads观察到：“当越来越多的人以一种安全的方式来提高移动应用程序的速度时，HTML5安全问题就得到了改善。但是，仍然还有很长的一段路要走，而且会越走越快。你需要找一个切入点来获取这个重要的突破口。”

企业架构师们需要以企业软件开发生命周期为核心来推出最佳的开发战略，以此来提升应用HTML5安全性。确保网络应用和服务器是否正确以及安全配置是否合理是非常重要的工作环节。大多数新开发的技术在网络应用或者服务器设置中都非常脆弱、容易受到攻击，这可以通过改进和禁用功能来解决种问题。Jerome Segura是Malwarebytes Labs的安全研究主管，他说：“不幸的是，这个问题取决于网络开发人员和管理者是否能做好安全资源工作，当然，这就意味着他们能否真正意识到其中的威胁。”

HTML5安全问题集锦

HTML5为标准浏览器应用程序带来了许多新功能，这些功能可以跨浏览器、跨客户端运行。然而，早期欧洲网络信息安全局就发现了51个主要缺陷。

Geoffrey Vaughan是Security Compass公司的一名安全咨询师，同时也是安全工具的供应商，HTML5中包含一系列新的缺陷，而且比一般标准更脆弱、更容易出现，其中包括安全配置错误问题、跨站点脚本攻击(XSS)，它们可以进入本地存储、套件或者跨框架的脚本中：
• 在多配置平台中更容易出现安全配置错误和跨域资源共享(CORS)问题。所以多配置开发平台在预配置环节中都会存在安全漏洞，这就意味着，如果配置没有经过“淬火”处理，那么应用程序中会出现漏洞。
• XSS更具攻击性，因为，它可以让网络应用程序具有本机访问的功能。HTML 5应用程序可以识别Java脚本，同时也可以访问获取到特殊的标签来访问本地phone元素。如果攻击者能够利用XSS进行攻击，那么他们可能获取到更多个人资源的访问权限。
• 企业开发HTML5的额外存储功能，就会引入更多的安全问题。其中存在的主要风险就是，如果你将一些敏感的数据存储到设备中，并且数据丢失、被盗或者被破坏，那么数据就很容易被泄露。
• HTML5可以跨框架和层级进行操作，因此简化了Web应用程序的开发过程。这个特点再加上CORS方法，使得HTML5应用程序与传统的HTML规格相比更容易引起套件风险。这种风险是比较显著的，但是对于移动应用程序来说，这种风险又很容易被隐藏起来。例如导航和URL栏这些浏览器元件中都很容易隐藏风险。
• WebSockets协议中将一种新的矢量输运理论引入到企业架构中。Wedge Network公司的系统架构主管以及安全工具供应商Joe Bulman 说：“这就意味着，原本对‘本地防病毒软件或者Web应用程序防火墙’具有防御作用的HTTP感知将不会轻易地就能够对通信的特性进行分类。”

安全教育必不可少

Neohapsis安全、风险咨询公司的高级总监 Mark Hammond认为，企业在进行开发人员培训时应该考虑进行一堂安全教育课程。其中包括访问控制破坏、注入和CORS攻击。开发人员同时也应该考虑研究使用环境安全政策，从而有助于减少这些攻击。

Bulman说，进行一次包括正规应用程序安全习惯在内的训练也是非常重要的。开发人员需要熟知一些安全标准（如OWASP）和一些相关的安全工具、安全库以及较佳的实践方法，例如渗透测试。他说：“在一种安全的应用程序开发过程中，例如本地存储和跨域脚本这样强大的HTML5功能可以安全地部署在应用程序中。”