Japan Computer Emergency Response Team Coordination Center

JPCERTコーディネーションセンターは2月14日、1月29日にプレゼンテーションが実施された「第44回 HTML5とか勉強会 - 今から始めるHTML5セキュリティ」の発表資料を公開した。PDFデータとしてダウンロードできる。HTML5とセキュリティに関する事項がまとまっており参考になる。

資料で説明されている主なポイントは次のとおり。

  • XMLHttpRequestにおけるクロスオリジンを利用した脆弱性
  • video要素またはaudio要素のonerrorイベントを利用したクロスサイトスクリプティング攻撃
  • button要素のformaction属性を利用した攻撃の自動化
  • input要素のtype指定やpattern指定を過信した入力データチェック不足による脆弱性
  • iframe要素のsandboxを過信することで発生するクロスサイトスクリプティング攻撃
  • Content-Security-Policyによるクロスサイトスクリプティング攻撃可能性の低減

HTML5は開発者にとって有益であると同時に、そうした新機能は攻撃者によっても使われる危険性があるため注意が必要とされている。