गूगल की घोषणा कि वे फ्लैश के साथ किया गया था फ्लैश के ताबूत में आखिरी कील थी.
इससे पहले भी सेलिब्रिटी टेक्नोक्रेट पसंद करते हैं स्टीव जॉब्स फ्लैश के खिलाफ खुलकर बात की.
एचटीएमएल 5 के फ्लैश और उदय के निधन के साथ एक नया युग शुरू हुआ है जिसमें बेहतर दिखने और बेहतर कामकाजी वेबसाइट हैं जो मोबाइल और पीसी के साथ समान हैं।.
डेटा ट्रांसफर करना और उसे प्राप्त करना भी पहले की तुलना में बहुत अधिक सरल हो गया है.
हालांकि, यह अपनी अनूठी चुनौतियों को प्रस्तुत करता है जिसे जीतने की आवश्यकता है.
इसका लाभ यह है कि html5 क्रॉस-ब्राउज़र समर्थन और कार्यक्षमता को एक नए स्तर पर ले जाता है.
कुछ ब्राउज़र व्यक्तिगत साइट तत्वों का समर्थन नहीं करते हैं, और दिखावे के साथ रखने के लिए साइट तत्वों को बदलना निराशाजनक है.
HTML5 सभी आधुनिक ब्राउज़रों के समर्थन के बाद से उस आवश्यकता को पूरा करता है.
क्रॉस-ऑरिजिनल रिसोर्स शेयरिंग
क्रॉस-ऑरिजनल रिसोर्स शेयरिंग (CORS) html5 की सबसे प्रभावशाली विशेषताओं में से एक है और यह भी कि गलतियों और हैकर के हमलों की सबसे अधिक संभावना है.
CORS साइटों को उत्पत्ति को परिभाषित करने और प्रासंगिक इंटरैक्शन को सुविधाजनक बनाने में मदद करने के लिए हेडर को परिभाषित करता है.
Html5 कॉर्स के साथ ब्राउज़रों पर मूलभूत सुरक्षा तंत्र को म्यूट किया जाता है वही मूल नियम.
एक ही मूल नीति के तहत, एक ब्राउज़र किसी वेबपेज को दूसरे वेबपेज से डेटा एक्सेस करने की अनुमति तभी दे सकता है, जब दोनों वेब पेजों की मूल उत्पत्ति एक ही हो.
एक मूल क्या है?
एक उत्पत्ति URI योजना, होस्ट नाम और पोर्ट नंबर का एक संयोजन है। यह नीति दुर्भावनापूर्ण लिपियों को वेब पेजों से डेटा को निष्पादित और एक्सेस करने से रोकती है.
कॉर्स प्रासंगिक नीति को अनुमति देने के लिए विभिन्न साइटों को डेटा तक पहुंच को सक्षम करके इस नीति को शिथिल करता है.
यह एक हैकर को संवेदनशील डेटा पर अपना हाथ लाने के लिए प्रेरित कर सकता है.
उदाहरण के लिए,
यदि आप फेसबुक में लॉग इन हैं और लॉग इन रहते हैं और फिर किसी अन्य साइट पर जाते हैं, तो यह संभव है कि हमलावर जानकारी को चुरा सकते हैं और कुछ भी कर सकते हैं जो वे आपके फेसबुक अकाउंट पर आराम से क्रॉस-मूल नीति का लाभ उठा सकते हैं.
यदि कोई उपयोगकर्ता अपने बैंकिंग खाते में लॉग इन करता है और हैकर से लॉग-आउट करना भूल जाता है, तो थोड़ा अधिक टिपिड नोट पर, उपयोगकर्ता के क्रेडेंशियल्स, उसके लेनदेन या यहां तक कि नए लेनदेन बना सकता है।.
उपयोगकर्ता विवरण संग्रहीत करके ब्राउज़र सत्र कुकीज़ को शोषण के लिए खुला छोड़ देते हैं.
हैकर्स अप्रचलित रीडायरेक्ट को ट्रिगर करने के लिए हेडर के साथ भी मध्यस्थता कर सकते हैं.
जब अविश्वासित इनपुट स्वीकार किए जाते हैं तो बिना रीडायरेक्ट किए जा सकते हैं। यह, बदले में, एक पुनर्निर्देशित अनुरोध को आगे बढ़ाता है। दुर्भावनापूर्ण साइट पर इनपुट जोड़ने के लिए अविश्वसनीय URL संशोधित किया जा सकता है और इसलिए वास्तविक साइट के समान दिखने वाले URL प्रदान करके फ़िशिंग स्कैम लॉन्च करें।.
असंबद्ध पुनर्निर्देशित और आगे के हमलों का उपयोग उस URL को दुर्भावनापूर्ण रूप से तैयार करने के लिए भी किया जा सकता है जो एप्लिकेशन के अभिगम नियंत्रण की जाँच से गुजरता है और फिर हमलावर को विशेषाधिकार प्राप्त कार्यों के लिए अग्रेषित करता है जो वे आम तौर पर उपयोग नहीं कर पाएंगे।.
इन चीजों को होने से रोकने के लिए यहां डेवलपर्स को ध्यान रखना चाहिए.
- डेवलपर्स को यह सुनिश्चित करना चाहिए कि URL खोलने के लिए पारित किए गए हैं। यदि ये क्रॉस-डोमेन हैं, तो यह कोड इंजेक्शन के लिए असुरक्षित हो सकता है.
- इसके अलावा, ध्यान दें कि क्या URL रिश्तेदार हैं या यदि वे कोई प्रोटोकॉल निर्दिष्ट करते हैं। एक रिश्तेदार URL एक प्रोटोकॉल निर्दिष्ट नहीं करता है, यानी, अगर यह HTTP या https के साथ शुरू होता है, तो हमें नहीं पता होगा। ब्राउज़र मानता है कि दोनों सच हैं.
- एक्सेस कंट्रोल चेक के लिए ओरिजिन हेडर पर भरोसा न करें क्योंकि वे आसानी से खराब हो सकते हैं.
आपको कैसे पता चलेगा कि किसी विशेष डोमेन पर CORS सक्षम है या नहीं?
ठीक है, आप हेडर की जांच करने के लिए ब्राउज़र में डेवलपर टूल का उपयोग कर सकते हैं.
क्रॉस-डोमेन मैसेजिंग
क्रॉस-साइट मैसेजिंग को क्रॉस-साइट-स्क्रिप्टिंग हमलों को रोकने के लिए पहले ब्राउज़रों में अस्वीकृत कर दिया गया था.
इसने वेबसाइटों के बीच वैध संचार को भी होने से रोक दिया जिससे अब क्रॉस-डोमेन मैसेजिंग का बड़ा हिस्सा बन गया.
वेब मैसेजिंग विभिन्न एपीआई को आसानी से बातचीत करने की अनुमति देता है.
क्रॉस-स्क्रिप्टिंग हमलों को रोकने के लिए यहां डेवलपर्स को क्या करना चाहिए.
उन्हें संदेश की अपेक्षित उत्पत्ति के बारे में बताना चाहिए
- मूल विशेषताओं को हमेशा क्रॉस-चेक किया जाना चाहिए और डेटा सत्यापित होना चाहिए.
- प्राप्त करने वाले पृष्ठ को हमेशा प्रेषक की मूल विशेषता की जांच करनी चाहिए। यह सत्यापित करने में मदद करता है कि प्राप्त डेटा वास्तव में अपेक्षित स्थान से भेजा गया है.
- डेटा को आवश्यक प्रारूप में प्राप्त करने के लिए प्राप्त पृष्ठ को इनपुट सत्यापन भी करना चाहिए.
- एक्सचेंज किए गए संदेशों की व्याख्या डेटा के रूप में की जानी चाहिए न कि कोड के रूप में.
बेहतर भंडारण
Html5 की एक अन्य विशेषता यह है कि यह बेहतर भंडारण की अनुमति देता है। उपयोगकर्ता डेटा का ट्रैक रखने के लिए कुकीज़ पर निर्भर होने के बजाय, ब्राउज़र डेटा को स्टोर करने में सक्षम है.
एचटीएमएल 5 कई खिड़कियों में भंडारण की अनुमति देता है, बेहतर सुरक्षा है और एक ब्राउज़र को बंद करने के बाद भी डेटा को बरकरार रखता है। ब्राउज़र प्लग इन के बिना स्थानीय भंडारण संभव है.
यह विभिन्न प्रकार की परेशानियों को दूर करता है.
डेवलपर्स को हमलावरों को जानकारी चुराने से रोकने के लिए निम्नलिखित बातों का ध्यान रखना चाहिए.
- यदि कोई साइट उपयोगकर्ता के पासवर्ड और अन्य व्यक्तिगत जानकारी संग्रहीत करती है तो उसे हैकर्स द्वारा एक्सेस किया जा सकता है। ऐसे पासवर्ड जिन्हें एन्क्रिप्ट नहीं किया गया है, उन्हें वेब स्टोरेज एपीआई के जरिए आसानी से चुराया जा सकता है। इसलिए यह अत्यधिक सुझाव दिया गया है कि सभी मूल्यवान उपयोगकर्ता डेटा एन्क्रिप्ट और संग्रहीत है.
- इसके अतिरिक्त, कई मालवेयर पेलोड ने पहले ही ब्राउज़र कैश और स्टोरेज एपीआई स्कैन करना शुरू कर दिया है ताकि उपयोगकर्ताओं को लेन-देन और वित्तीय जानकारी की जानकारी मिल सके.
विचारों का समापन
एचटीएमएल 5 वेब डेवलपर्स को चीजों को संशोधित करने और अधिक सुरक्षित बनाने के लिए उत्कृष्ट अवसर प्रदान करता है.
एक सुरक्षित वातावरण प्रदान करने में काम का बड़ा हिस्सा हालांकि ब्राउज़र पर पड़ता है.
यदि अधिक जानने के लिए दिलचस्पी है तो बाहर की जाँच करें ”1 घंटे में HTML5 सीखें“बेशक.
