HTML5 Seguro ou Inseguro?
1 gostou507 visualizações
O documento discute se o HTML5 é seguro ou inseguro. Apresenta o que é HTML5, quais recursos possui como localStorage e WebSockets. Discutem como esses recursos podem ser usados para ataques como botnets, além de explorações como SQL injection e XSS armazenados. Conclui que o HTML5 traz avanços, mas precisa de mais testes de segurança antes de ser amplamente adotado.
HTML5 Seguro ou Inseguro?
- 1. HTML5 Seguro ou Inseguro? Wagner Elias Gerente de Pesquisa e Desenvolvimento sexta-feira, 3 de dezembro de 2010
- 2. Agenda • HTML5 • Uma nova e eficaz abordagem para • O que é? Botnets • Quem usa? • Geolocation • Alguns Recursos • WebSocket • localStorage • LocalStorage • Websocket • Explorando • Ele pode ser um big • Client-Side SQLi brother • Navigator • Stored XSS • Geolocation • Conclusão CONVISO IT SECURITY 2 HTML5 SEGURO OU INSEGURO? sexta-feira, 3 de dezembro de 2010
- 3. HTML5 CONVISO IT SECURITY 3 HTML5 SEGURO OU INSEGURO? sexta-feira, 3 de dezembro de 2010
- 4. O que é? Morra Geolocation Flash Video Canvas Offline Web App CONVISO IT SECURITY 4 HTML5 SEGURO OU INSEGURO? sexta-feira, 3 de dezembro de 2010
- 5. Quem usa? CONVISO IT SECURITY 5 HTML5 SEGURO OU INSEGURO? sexta-feira, 3 de dezembro de 2010
- 6. Alguns Recursos CONVISO IT SECURITY 6 HTML5 SEGURO OU INSEGURO? sexta-feira, 3 de dezembro de 2010
- 7. localStorage 5Mb (No browser) CONVISO IT SECURITY 7 HTML5 SEGURO OU INSEGURO? sexta-feira, 3 de dezembro de 2010
- 8. Websockets CONVISO IT SECURITY 8 HTML5 SEGURO OU INSEGURO? sexta-feira, 3 de dezembro de 2010
- 9. Ele pode ser um Big Brother CONVISO IT SECURITY 9 HTML5 SEGURO OU INSEGURO? sexta-feira, 3 de dezembro de 2010
- 10. Navigator Você está online? Qual o seu sistema Operacional? Qual o seu histórico de navegação? CONVISO IT SECURITY 10 HTML5 SEGURO OU INSEGURO? sexta-feira, 3 de dezembro de 2010
- 11. Geolocation CONVISO IT SECURITY 11 HTML5 SEGURO OU INSEGURO? sexta-feira, 3 de dezembro de 2010
- 12. Uma nova e eficaz abordagem para Botnets CONVISO IT SECURITY 12 HTML5 SEGURO OU INSEGURO? sexta-feira, 3 de dezembro de 2010
- 13. Abordagem segmentada por região com Geolocation CONVISO IT SECURITY 13 HTML5 SEGURO OU INSEGURO? sexta-feira, 3 de dezembro de 2010
- 14. Usando Websocket pode se ter uma comunicação entre os nós da Botnet rápida e menos barulhenta CONVISO IT SECURITY 14 HTML5 SEGURO OU INSEGURO? sexta-feira, 3 de dezembro de 2010
- 15. LocalStorage e/ou Web Database permite armazenar código e estende os ataques a dispositivos móveis (Um foco do HTML5) CONVISO IT SECURITY 15 HTML5 SEGURO OU INSEGURO? sexta-feira, 3 de dezembro de 2010
- 16. Client-Side Exploit CONVISO IT SECURITY 16 HTML5 SEGURO OU INSEGURO? sexta-feira, 3 de dezembro de 2010
- 17. Client-Side SQLi * PoC baseado no apresentado no AndLabs: http://www.andlabs.org/html5/csSQLi.html CONVISO IT SECURITY 17 HTML5 SEGURO OU INSEGURO? sexta-feira, 3 de dezembro de 2010
- 18. Stored XSS CONVISO IT SECURITY 18 HTML5 SEGURO OU INSEGURO? sexta-feira, 3 de dezembro de 2010
- 19. Conclusão CONVISO IT SECURITY 19 HTML5 SEGURO OU INSEGURO? sexta-feira, 3 de dezembro de 2010
- 20. Conclusão • Um avanço para aplicações web, mas ainda é cedo para adotá-lo. O próprio w3c pediu cautela • Um novo desafio para ferramentas e profissionais que testam aplicações web • Alguns recursos serão alvo de ataques e ações criminosas CONVISO IT SECURITY 20 HTML5 SEGURO OU INSEGURO? sexta-feira, 3 de dezembro de 2010
- 21. Referências • http://HTML5Rocks.com • http://html5demos.com/ • http://websockets.org/ • http://dev.w3.org/html5/websockets/ CONVISO IT SECURITY 21 HTML5 SEGURO OU INSEGURO? sexta-feira, 3 de dezembro de 2010
- 22. Obrigado... • Blog: http://wagnerelias.com • E-mail: welias@conviso.com.br • Twitter: @welias CONVISO IT SECURITY 22 HTML5 SEGURO OU INSEGURO? sexta-feira, 3 de dezembro de 2010