El ENISA (Agencia europea de seguridad) ha analizado a fondo el nuevo estándar HTML5 desde el punto de vista de la seguridad y ha llegado a identificar 50 amenazas que ha detallado en un informe.
El mencionado informe detalla algunos problemas que podrían corregirse ajustando las especificaciones del estándar así como otros que implican un mayor riesgo y una notificación de lo que pasa más precisa al usuario para que sea él quien decida la acción a tomar. Algunos de los problemas detectados son:
- Acceso sin protección a información confidencial
- Problemas en la especificación y la aplicación de las políticas de seguridad
- Posibilidad de incluir el botón de envío de datos de formulario en cualquier lugar de una página, lo que hace que pueda ser complicado distinguir un botón malicioso.
- Características con especificaciones sin cerrar (esto puede generar conflictos y errores)
- Desajustes con la gestión de los permisos del sistema operativo
- Posibilidad de Click jacking
El ENISA no quiere demonizar al HTML, ya que de hecho dicen haber encontrado muchos menos fallos de seguridad que en versiones anteriores. Sólo se trata de dejar claro a los peligros que puede exponerse un usuario…
Si estás interesado en acceder al informe completo, puedes hacerlo desde este enlace.