HMTL5 logo

El HTML5 es ya la quinta revisión del lenguaje HTML que se encuentra en modo experimental y que va ya por su borrador número doce. Este borrador está abierto para que cualquier organismo (o usuario) que lo desee pueda aportar sus comentarios hasta su cierre en el día de hoy y, precisamente, el ENISA, la Agencia Europea de Seguridad, preocupada por la seguridad del nuevo estándar ha identificado cincuenta amenazas que ha detallado en un informe para que sean tenidas en cuenta en las correcciones del actual borrador del estándar.

El informe, de sesenta y una páginas, detalla algunos problemas que podrían corregirse ajustando las especificaciones del estándar y otros que implican mucho mayor riesgo y que, por tanto, implican el lanzamiento de alertas a los usuarios para que estén atentos. Entre los riesgos de seguridad encontrados estarían:

  • Acceso sin protección a información confidencial
  • Posibilidad de incluir el botón para enviar formularios en cualquier parte de la página, haciendo que sea complicado distinguir entre un botón malicioso y otro real.
  • Problemas en la especificación y la aplicación de las políticas de seguridad
  • Desajustes con la gestión de los permisos del sistema operativo
  • Características que aún no tienen cerradas sus especificaciones, que pueden conducir a conflictos al aplicarse o conducir a errores
  • Nuevas de saltarse los mecanismos que evitan el click-jacking

El ENISA no quiere demonizar el HTML, sino que buscan la mejora de éste, al menos eso quiso dejar claro Giles Hogben:

Creo que este informe es interesante porque es la primera vez que alguien analiza un conjunto de especificaciones de un estándar desde el punto de vista de la seguridad. […] El HTML5 beneficiará mucho a los desarrolladores, no estamos sugiriendo que el W3C lo cambie todo a raíz de este informe, simplemente, los usuarios deben ser conscientes de los riesgos que a los que se enfrentarán

Según Marnix Dekker, co-autor del estudio:

Una conclusión importante de este estudio es que hemos encontrado muchos menos problemas de seguridad que en las versiones anteriores. Esto demuestra el valor de las revisiones que se han hecho y, lógicamente, las que se harán en próximos borradores

Además, en su informe, el ENISA también realizó recomendaciones relativas a cómo deben comportarse los navegadores. Según el profesor Udo Helmbrecht, director ejecutivo del ENISA:

El navegador web es ahora uno de los componentes más críticos para la seguridad en esta nueva estructura, un objetivo cada vez más lucrativo para los ciber-atacantes

Supongo que es de esperar que para el próximo borrador, muchas de estas recomendaciones sean tenidas en cuenta.