HTML5で開発するときのセキュリティリスク

あるAnonymous Coward 曰く、　HTML5はブラウザベースのアプリを簡単に作成できるなど便利な反面、セキュリティ的な見地から見るとリスクも大きいとの声が挙がっている（darkREADING、本家/.）。

　HTML5では大容量のデータを保存するために、Webブラウザ側のストレージやデータベースにデータを保存する機構が用意されている。これはオフラインで利用できるアプリケーションを作るのに便利だが、いっぽうで攻撃者が保存されたデータを取得して外部サーバーにアップしたり、ローカルに置いたデータを改変する、といった危険性も考えられる。

　またもう一つのリスクとして、サードパーティ製のコードの中に含まれている潜在的な脆弱性が上げられる。これまでJavaScriptは、読み込まれたドメインからしかリソースを要求できないようになっていたが、HTML5ではCORS（Cross-Origin Resource Sharing）というメカニズムが追加され、指定したルールにおいてHTMLを読み込んだサーバー以外からもコードやリソースの読み込みが可能になった。開発者はアクセス制御やCORSを使用可能にした状態ではワイルドカードを使用しないなど、厳格な利用ポリシーを定めて運用すべきだとしている。

　スラッシュドットのコメントを読む | ITセクション | セキュリティ | インターネット

　関連ストーリー：
W3C 標準として新たな DRM ともいえる「EME」が提案される 2013年03月26日
HTML5 の Web ストレージ API に HDD の空き容量を簡単に埋められるバグ 2013年03月04日
W3C、ついに HTML5 仕様策定完了 2012年12月19日