Trong thời đại máy tính hóa hiện nay, khách hàng trực tuyến đã yêu cầu nhiều hơn đáng kể về bản chất của các trang web hoặc ứng dụng họ cần. Họ đã bắt đầu coi trải nghiệm khách hàng được sắp xếp hợp lý là ưu tiên và HTML5 đã đóng một vai trò quan trọng để đạt được điều này.
HTML 5 đã trao quyền cho các kỹ sư để cải thiện giao diện người dùng mà không có các mối đe dọa bảo mật liên quan đến các mô-đun như Flash. Để tránh rủi ro về mọi mặt, các lập trình viên đã bắt đầu đặt niềm tin vào HTML 5 hơn bao giờ hết. Do đó, lựa chọn được đưa ra đã được chứng minh là tối ưu sau khi các lỗ hổng Adobe Flash được công bố. Ban đầu HTML5 xuất hiện để đảm bảo tính bảo mật nổi bật hơn và các điểm nổi bật được phát triển hơn nữa. Do đó, mức độ các trang web sử dụng HTML5 đã tăng lên đến 70%. Nhưng điều này có thực sự đáng giá không? Làm thế nào chúng tôi chắc chắn rằng đây không phải là một quyết định tồi?
Xem xét kỹ hơn…
Không thể phủ nhận sự thật rằng HTML5 là một bản nâng cấp đáng kinh ngạc, nhưng nó có những vấn đề bảo mật riêng. Vài tháng trước Hoạt động kỹ thuật số và bảo mật của Media Trust nhóm đã tìm thấy nhiều phần mềm độc hại khác nhau gây nghi ngờ về tính bảo mật và độ tin cậy của HTML5. Họ đã phát hiện ra một phần mềm độc hại sử dụng JavaScript để tự che đậy và ở bên trong HTML5. Làm như vậy, nó có thể duy trì một khoảng cách chiến lược từ nhận dạng và thu hút người dùng nhập dữ liệu của họ. Nó thu thập thêm dữ liệu này và chuyển tiếp cho các tin tặc sử dụng dữ liệu này cho mục đích báo thù. Một điều khác làm cho phần mềm độc hại này trở nên đặc biệt là nó tự vỡ thành nhiều mảnh, rất khó nhận ra. Hơn nữa, điều này đang diễn ra nhanh chóng thông qua quảng cáo và phương tiện truyền thông. Nếu các chuyên gia bảo mật được tin cậy, thì điều này đã gây ra gần 20 vụ hack ảnh hưởng đến các nhà phân phối phương tiện web trên toàn cầu.
Đây có thể được coi là một trong những ví dụ nổi bật nhất về cách các nhà thiết kế phần mềm độc hại liên tục theo dõi các phương pháp mới, sáng tạo để lạm dụng ngay cả những sơ hở nhỏ nhất trong hệ thống. Tuy nhiên, đây không phải là lần đầu tiên HTML5 bị tấn công. Vào năm 2015, khi Adobe Flash bắt đầu hoạt động, các nhà phân tích bảo mật đã tìm ra một số chiến lược mà tin tặc có thể sử dụng để khai thác mã HTML5. Những phương pháp đó bao gồm việc sử dụng các API, sử dụng một “ obfuscation-de-de-obfuscation tương tự ”Các lệnh JavaScript.
Năm tiếp theo, phần mềm độc hại này được sử dụng để đóng băng hệ thống và bí mật lấy thông tin cá nhân của khách hàng. Các phiên bản của năm hiện tại rất đa dạng vì chúng không yêu cầu tương tác với việc sử dụng. Điều này mô tả sự học hỏi và hiểu biết của các tin tặc đang trên đà tấn công hàng loạt vô tận. Nhất quán, không có phiên bản nào của phần mềm độc hại HTML5 bị phần mềm chống vi-rút phát hiện hoặc xóa. Vì vậy, các vấn đề bảo mật HTML5 có thể trở thành vấn đề đau đầu!
Còn nhiều vấn đề về bảo mật HTML5….
Quy định chung về quyền riêng tư của dữ liệu ở Vương quốc Anh và một loạt các biện pháp kiểm soát an ninh ở Hoa Kỳ đã nghĩ đến việc giúp các tổ chức giảm nhẹ việc triển khai GDPR vì điều này. Các sự cố như làm xáo trộn HTML trong đó mối đe dọa không được xác định kịp thời ít nhiều giống như một quả bom yên lặng đang chờ phát nổ.
Tin tặc có danh tiếng là nhắm mục tiêu vào các bên thứ ba. Lý do đằng sau điều này là chúng được thiết lập bảo mật yếu hơn và dễ xâm nhập hơn. Khi tin tặc vượt qua được, chúng có thể xâm nhập vào hệ thống an toàn của khách hàng mà không bị phát hiện. Một mục tiêu dễ dàng khác là quảng cáo trực tuyến. Tin tặc có thể phát tán phần mềm độc hại cho một số lượng lớn người dùng mà không ảnh hưởng đến toàn bộ trang web.
Những Hành Động Có Thể Thực Hiện Để Chống Lại Điều Này?
Cách tối ưu để đảm bảo an ninh là quan sát hiệu quả và liên tục những người bên ngoài, khám phá và theo dõi bất kỳ mối đe dọa hoặc bất thường nào. Điều này có thể được thực hiện bằng cách liên tục kiểm tra các bên thứ ba và mã chưa được phê duyệt. Ngoài ra, các tổ chức nên chia sẻ các chiến lược rõ ràng và duy trì các điều kiện bảo mật với người bán của họ.
Cuối cùng, các tổ chức cần phải phổ biến một quy trình nhanh chóng rằng họ sẽ phản ứng như thế nào với việc phá sản hoặc bất kỳ hành động nào của người bán không được chấp thuận khi nó xảy ra. Ngoài một kế hoạch khắc phục đầy đủ cùng với một thỏa thuận tư vấn cho khách hàng và thông báo về tình tiết, thủ tục đó phải kết hợp sự kết thúc nhanh chóng của bất kỳ người bán nào tiếp tục vi phạm chiến lược hoặc điều khoản sau khi được đưa ra lưu ý.
Các kiểm soát viên sẽ điều tra những động thái mà các tổ chức đã thực hiện để chống lại tin tặc, mức độ nhanh chóng của những người được giáo dục nói chung và những biện pháp phòng ngừa nào đã được đăng ký trước khi vi phạm. Mặc dù đây có thể không phải là các phương pháp chứng minh đầy đủ, nhưng chúng chắc chắn sẽ đảm bảo rằng các vấn đề bảo mật HTML5 sẽ không làm ảnh hưởng đến công việc kinh doanh của chúng tôi! Quan điểm của bạn về điều này là gì?