Dirijo una pequeña empresa, diseñando y construyendo sitios web. Actualmente nuestros sitios web que construimos utilizan Adobe Flash.
Estamos pensando en migrar a HTML 5, ¿existen ventajas de seguridad al hacer tal cosa?
Dirijo una pequeña empresa, diseñando y construyendo sitios web. Actualmente nuestros sitios web que construimos utilizan Adobe Flash.
Estamos pensando en migrar a HTML 5, ¿existen ventajas de seguridad al hacer tal cosa?
Los riesgos de Flash son del lado del cliente. Al ver un sitio comprometido que está bien diseñado (no es susceptible a XSS), no debe haber diferencias en la seguridad entre Flash y HTML 5, ya que el contenido no es malware. El principal problema de seguridad con flash es para el cliente. Cuando visitan un sitio infectado con malware basado en Flash, pueden ocurrir cosas malas en su computadora. No es una preocupación del lado del servidor.
¿Ventajas de seguridad en el lado del servidor o del lado del cliente?
En el lado del servidor (piratear el servidor: obtener acceso a los archivos del servidor) no veo ninguna ventaja de hacer uno u otro. Ambos son archivos que no hacen nada. Si usa PHP u otro idioma del lado del servidor, eso puede causar problemas, pero luego es PHP, no Flash o HTML5.
En el lado del cliente, se sabe que Flash tiene vulnerabilidades y se usa con bastante frecuencia para atacar una computadora cliente. Realmente no importa si sus sitios usan Flash o no. No importa si el cliente tiene instalado flash, pero eso no es su responsabilidad.
Si un visitante no tiene Flash instalado y se ve obligado a instalar Flash debido a su sitio web, y luego visita otro sitio que tiene un banner de destello de mallware, es posible que se infecte. ¿Es tu culpa?
Supongamos que su servidor web no está pirateado, por lo que no hay archivos que infecten una computadora cliente en su servidor.
Hay un problema que se me ocurre con HTML5: el uso de secuencias de comandos en sitios cruzados, cuando se usa un javascript que no está correctamente configurado y permite que esto suceda. P.ej. Si usas eval (), es arriesgado. ¿Deberías evitar HTML5 debido a esto? ¡No!
Sé de algunas ventajas de seguridad que HTML 5 tiene en comparación con flash y una desventaja, esta respuesta puede no estar completa
Las actualizaciones de HTML 5 se entregan a través de los navegadores, por lo tanto, existe una mayor posibilidad de que los usuarios se actualicen al último parche (a diferencia de los complementos de terceros que requieren actualizaciones por separado)
-creo que el acceso de HTML 5 a los recursos del sistema es más restringido que el de flash (tendré que confirmar este, actualizaré este punto si es necesario después de una investigación adicional)
-Un gran grupo de empresas (facebook, apple, google, etc.) han prometido su apoyo a HTML5 y, por lo tanto, se realizarán muchas investigaciones sobre los aspectos de seguridad de varias compañías
Creo (no muy seguro) que una de las principales desventajas de seguridad de HTML5 es que un atacante puede ver fácilmente el código fuente de un juego en lugar de flash, donde el atacante tendrá que descifrar el archivo swf (no lo he hecho). eso antes, así que no sé qué tan fácil es hacerlo. También actualizaré este punto, si es necesario, después de una investigación adicional
Además de comparar la seguridad de html5 con flash, hay un conjunto completo de nuevas características con html5 (por ejemplo, acceso cruzado de dominio, almacenamiento fuera de línea) que puede hacerlo más vulnerable que el html normal, pero esa puede ser otra pregunta.
Hay algunas explotaciones mortales empleadas por HTML5 que no pueden ser parchadas, excepto por el propio navegador. Lo malo de parchear cosas como esta es que elimina la funcionalidad como un todo. Las cosas que los desarrolladores web encontraron útiles ahora están restringidas porque alguien abusó de ellas.
Flash solo necesita "cadenas" de bloque en sus parches, lo que permite que la función útil permanezca. Adobe fue simplemente perezoso con las actualizaciones y los parches, etc. como idioma, AS3 es superior y usa menos batería que HTML5
HTML5 está demostrando ser bastante peligroso, aunque se ejecuta tan bien (los mismos efectos que flash a través del lienzo) los navegadores antiguos en sistemas operativos con fecha pueden verlo. Escuché que Mac OS9 está reviviendo gracias a HTML5, incluso hay informes de que Win 3.1 muestra contenido HTML5 a toda velocidad. Interesante ... si solo las máquinas antiguas pudieran mejorar el hardware, o al menos permítanos instalar sistemas operativos más antiguos en las frambuesas pi
Lea otras preguntas en las etiquetas web-application flash