União Europeia alerta para problemas de segurança do HTML5

A agência de segurança digital da União Europeia (ENISA, na sigla em inglês) alerta que os padrões sobre os quais o HTML5 está sendo desenvolvido negligenciam importantes questões quanto à proteção contra ataques. Nesta segunda-feira (1/08) ela divulgou um documento de 61 páginas, no qual analisa as especificações da tecnologia.

O HTML5 é de responsabilidade do Consórcio World Wide Web (W3C). A organização aceita comentários a respeito da última prévia do HTML5 – liberada há dez dias – até essa terça-feira (2/08), ou seja, a União Europeia enviou suas sugestões pouco antes do término do prazo.

Leia mais: O HTML5 é o Santo Graal dos aplicativos web?

“Penso que é importante que, logo no primeiro rascunho, já se observe as especificações tendo a segurança como uma das prioridades”, afirmou Giles Hogben, diretor da agência. Ele destaca a importância dessas diretrizes, pois serão usadas como referências por muitos anos – tal qual o que ocorreu com o HTML4, cujas especificações foram liberadas em 1999.

Se, por exemplo, os códigos quanto ao uso da tecnologia em navegadores não forem bem estudados, usuários finais e corporativos estarão em risco. “Todos utilizam browsers nos dias de hoje”, disse Hogben. “É uma questão crucial”.

A ENISA encontrou 51 vulnerabilidades. Alguns dos problemas podem ser corrigidos a partir de simples mudanças, outras são inerentes aos próprios recursos, de modo que os usuários devem ser alertados para se protegerem. Uma das funções que chamaram a atenção da agência corresponde aos novos tipos de formulários a serem usados.

Com o HTML5 será possível inserir um botão em uma página com formulários, posicionando-o em qualquer lugar. Segundo os especialistas, crackers poderão tirar proveito do recurso, colocando seu próprio ícone no portal, e levando usuários a clicarem onde não deveriam, enviando dados confidenciais aos criminosos.

“Não estamos recomendado que o recurso seja retirado, apenas queremos que os usuários tenham acesso às informações necessárias para que não caiam em golpes”, ressaltou Hogben.

A agência também fez recomendações quanto ao modo como os internautas devem se comportar na hora de fazer transações financeiras. Eles devem usar diferentes navegadores ou, pelo menos, ativar o sand boxing, quanto abrirem múltiplas abas. Isso evitará com que o invasor, ao comprometer uma página, espalhe sua praga para outros locais que não a própria aba infectada.

A ENISA continuará enviando suas conclusões aos grupos envolvidos com o W3C. Em janeiro de 2012, novas especificações deverão ser liberadas, tendo em conta as sugestões recebidas.

Fonte: IDG Now!