欧州連合のコンピュータセキュリティ機関は、HTML5 の一部として開発中の標準規格が書き換えられており、重要なセキュリティ問題が無視される可能性があると警告している。
欧州ネットワーク情報セキュリティ機関(ENISA)は月曜日、ウェブコーディングの母国語であるHTML5の最新仕様を分析した61ページの文書を公開した。
HTML5はワールド・ワイド・ウェブ・コンソーシアム(W3C)によって管理されています。W3CはHTML5の最新ドラフトに対するコメントを火曜日まで受け付けており、ENISAは締め切りのわずか1日前に勧告をまとめました。
「セキュリティの観点からこれらの仕様群をまとめて検討したのは初めてなので、これは特別なことだと思います」と、ENISAのセキュアサービス担当プログラムマネージャー、ジャイルズ・ホグベン氏は語った。
HTML5仕様は、アプリケーション設計者やWeb開発者が今後何年にもわたって指針として使用するため、重要です。例えば、HTML4仕様は1999年から使用されています。
Web ブラウザの仕様が十分でない場合、消費者から企業ユーザーまで、誰もが危険にさらされます。
「最近は誰もが何にでもブラウザを使っています」とホグベン氏は言う。「本当に重要なんです。」
ENISAはHTML5の13の仕様を調査し、51件のセキュリティ問題を発見しました。ホグベン氏によると、これらの問題の中には仕様を微調整することで修正できるものもありますが、ユーザーに警告すべき機能に基づいてリスクが高まるものもあります。ENISAが報告書で懸念している機能の一つは、「フォームの改ざん」です。
HTML5仕様では、Webベースのフォームの「送信」ボタンをWebページ上の任意の場所に配置できます。つまり、攻撃者は別のフォームボタンなど、別のHTMLをページに挿入し、フォームの情報を正規のウェブサイトではなく攻撃者に送信することが可能です。
この新機能は「開発者にとってメリットがある」とホグベン氏は述べた。「W3Cにこの機能を削除すべきだと言っているのではなく、ユーザーがこの機能によって生じるリスクを認識するべきだと言っているのです。」
ENISAは、例えばユーザーがオンラインバンキング取引を行っている際のブラウザの適切な動作についても勧告を出しました。複数のタブを使用する場合は、別のブラウザを使用するか、少なくともサンドボックス化されたセッションを使用する必要があります。サンドボックス化されたブラウザセッションにより、攻撃ページが含まれている可能性のある別のタブが、ブラウザアプリケーション全体に設定されている緩い設定や権限を悪用することを回避できます。
ENISA は、その勧告を個々の W3C ワーキング グループに送り、2012 年 1 月までに仕様を改訂する予定です。
