CUN News 電腦新聞台 CUN電腦新聞台 CUN News By Computer User Network (http://hk852.to/cun/) From CNET資訊

1,906愛的鼓勵 2訂閱站台

在蘋果、微軟和Google紛紛表達對HTML 5的好感之際，專家警告道，要是HTML 5不夠安全，用瀏覽器拿來取代作業系統或應用程式的那一天，仍然遙不可及。

雅虎(Yahoo)資深JavaScript架構師暨技術傳教士Douglas Crockford在上週來台，參加台灣開放原始碼開發者大會(Open Source Developers' Conference Taiwan；OSDC.TW)。Crockford在與台灣媒體會面時，表示全球資訊網大會(W3C)在制訂HTML 5的標準時，沒有將安全性列為首要考量，而是強調新增功能，這將不利於新一代網際網路的發展。

他舉例說明HTML 5還沒有解決的問題。其一就是14年前瀏覽器問世時，就存在的跨網站攻擊程式 (XSS) ：駭客可以擷取在網頁上呈現的資料，例如廣告和Widget，進而和使用者溝通，將使用者的資料傳送到其他台伺服器。

「雖然雅虎有和Google合作，提供Caja工具，可以把在網頁上的資料包起來，不被攔截走。但是這項技術是權宜之計：已經問世了兩年，再過一段時間還是有可能被攻破，」Crockford坦言道。

而HTML 5會因小失大的部分在於，HTML 5雖然新增了本地端資料庫(Local DB)功能，期望能夠提升網頁應用的運作效率；但在沒有配套的安全機制下，駭客反而會存取用戶端的資料。Crockford以行動裝置為例，駭客可以透過GPS，知道使用者所在位置，或者啟動網路攝影機等。

「想想看，駭客可能會知道我們的小孩子現在位於那裡，」Crockford表示這有可能引發單純攻擊以外的犯罪行為。

他表示，HTML 5新增的功能，將讓網頁更為複雜，使得駭客更容易找到漏洞。

「我們的確需要新的標準，但是不能因此而忽略安全。我希望規格制訂者可以重排優先順序，」Crockford說。

只不過短時間看來，HTML 5的標準要更為安全，還有得等。Crockford指出安全性設計要等到HTML 5規格確定後才會出爐。但是HTML 5是一項龐大的計畫，難以預測最終版本上路的時間點。