这并不是说浏览器制造商无视于这个问题。即使他们必须为这个新标准增加新支持,他们正在努力寻找方法来防止攻击者的滥用。在Usenix安全专题座谈会上,Stamm指出火狐团队正在研究的用以缓解这种针对HTML5新技术的攻击的技术。
例如,他们正在研究一种替代插件平台,被称为JetPack,这个平台将可以严格控制插件执行的行动,“如果我们能够完全控制应用程序编程接口,我们就可以说‘这个插件正在访问某某网站,是否允许’,”Stamm表示。
JetPack也可以使用一种声明式安全模式,即插件必须向浏览器声明它将执行的行动,然后浏览器会监测插件来确保它位于这些参数间。
不过,评论家认为,浏览器制造商是否可以采取更多有效措施来确保HTML5的安全仍然还有待观察。
“企业已经开始评估是否应该使用这些新功能来应用于浏览器,”Johnson表示,“这种时候,可能听到平时决不可能听到的话,‘IE6可能比较好’。”
相关阅读