HTML5, den nyeste versjonen av språket i Web, er designet med web-applikasjoner i tankene. Den inneholder massevis av nye programmeringsgrensesnitt (API) utformet slik at Web-utvikler tilgang til enheten maskinvare og programvare ved hjelp av Javascript
Noen av de mer spennende HTML5 spesifikasjoner inkluderer følgende:.
Geolocation API lar leseren vite hvor du
Media Capture API lar leseren tilgang til kameraet og mikrofonen
File API lar leseren tilgang til filsystemet
web Storage API lar webapplikasjoner lagre store mengder data på datamaskinen
DeviceOrientation Hendelses Spesifikasjon lar web apps vet når enheten endres fra stående til liggende
Meldinger API gir leseren tilgang til et mobilt enhetens meldingssystemer
kontakter API manager lar tilgang til kontaktene som er lagret i brukerens kontaktdatabase
Les denne listen, og du kan konkludere med at HTML5 blir utformet spesielt for hackere og identitetstyver . Realiteten er imidlertid at at forfatterne av HTML5 ta svært alvorlig.
Bekymringer over HTML5 svekkelse personvernet ble mest kjent og synlig uttrykk på en front-side New York Times artikkel tilbake på Okt 10, 2010. Ny Web Kode Tegner bekymring over Privacy Risks snakker stort sett om ytterligere sporing evner aktivert av nye HTML5 nettleser lagringsmuligheter. Spesielt er Samy Kamkar sin Evercookie søknad blinket ut som en spesielt skummel eksempel. Evercookie er en Javascript-app som skriver sporingsdata til en rekke steder i brukerens nettleser, slik at dataene blir vanskelig å fjerne gjennom normal måte. Enda verre, Evercookie vil gjenskape alle cookies hvis den oppdager at de har blitt fjernet.
Kamkar opprettet Evercookie å demonstrere hvor enkelt nye lagringsmekanismene kan utnyttes av markedsførere til å spore brukere. Markedsførere betalt oppmerksomhet og raskt adoptert Evercookie å spore brukere.
Scared ennå? Du bør være.
Men HTML5 er ikke problemet. Faktisk HTML5 er en del av løsningen.
HTML5 Forbedrer Web Security, eliminerer behovet for Plug-ins
Den nåværende tilstanden i Web-selv å forlate HTML5 helt ut av det-inkluderer sporing cookies, Flash cookies og hacket webområder som distribuerer skadelig programvare. Videre 6,3 prosent av Internett-surfere over hele verden (mange av dem i Kina) fortsatt bruke særlig usikre Microsoft Internet Explorer 6.
HTML5 tar sikte på å gjøre nettet sikrere, delvis ved å eliminere behovet for browser plug -ins. Dette er en god start. To av de vanligste installerte browser plug-ins, Java og Flash, er også de to største sikkerhetshull i en hvilken som helst nettleser.
Bare ved å bli installert, plug-ins gjøre leseren mindre sikker. Ikke bare det, men plug-ins er som regel skrevet for flere operativsystemer; en sårbarhet i en plug-in som Java eller Flash er et sikkerhetsproblem i Windows, MacOS og Linux. En annen rynke er at en stor andel av installerte plug-ins ikke har de nyeste sikkerhetsoppdateringene. Overall, plug-ins representerer et stort problem
Nyheter.: Oracle lanserer Java EE 7 med Eye på HTML5 DevelopmentMore: HTML5 Web Storage Smutthullet kan misbrukes til å fylle harddisker med søppel data
Mange av HTML5 nye funksjoner-innebygd video og lydavspilling, vektor og bitmap animasjon, tilgang til enheten og nettlagringsplass, for eksempel-er designet for å eliminere behovet for plug-ins. Ved å bringe det som ble betraktet som "ekstra" funksjonalitet under taket av nettleser-og, enda viktigere, under taket av godkjente standarder-sikkerhet og personvern kan integreres i en mye mer sammenhengende, forsiktig måte.
HTML5 Device Access-APIer og Privacy Preferences
bred kategori av tilgangs APIer enhets presentere en annen potensiell HTML5 personvern problemet. Det virker bare naturlig for mange av oss at den fortsatte utvidelsen av Web og webifisering av alle slags dataenheter vil skape mange innovative produkter og tjenester. Akkurat som desktop web-applikasjoner tar over mange oppgaver som pleide å være den eneste domenet pakket programvare, er mobil databehandling også stadig skiftende retning nettet.
Den største manglende brikken for dagens mobile web apps er begrenset enhet tilgang evner av mobile nettlesere i forhold til mulighetene til innfødte mobile applikasjoner. Mobile Web apps kan ikke, for eksempel føre til at telefonen skal vibrere, lese den nåværende tilstanden til batteriet eller måle lys fra omgivelsene. De fleste nye mobile nettlesere kan imidlertid få tilgang til din nåværende posisjon og ditt kamera. Som disse nye funksjonene er bakt inn i nettlesere, er personvern et stort problem.
I native apps, enhetstilgang personverninnstillinger er normalt håndtert gjennom installasjonsprosessen. Når du installerer en Android-app, for eksempel, får du melding om hvilke typer tilgangs at app forespørsler. På dette punktet, kan du velge å tillate eller forby bedt om tilgang. Når du har installert programmet, er tillatelsene satt, og at appen har tilgang til kameraet, kontakter eller hva du godkjent
Nyheter.: Fujitsu Eyes Enterprise Security med HTML5 Mobile App Platform
Mobile Web app personvern og sikkerhet er vanskelig, siden en web-app kan endres når som helst og oppgraderinger ikke krever aktiv involvering. Mesteparten av tiden, er dette en stor fordel av web apps; du får stadige oppgraderinger uten den irriterende oppgraderingsprosessen som native apps krever. Ulempen er at enhver endring kan føre til en tidligere sikker og pålitelig app til å bli mindre så, selv skadelig
For å forstå hvordan nettlesere håndtere dette potensielle problemet, må vi først definere noen begreper.
< p> Legg merke til er det krav om at en API varsle en bruker som data samles inn. Foreløpig nettlesere har litt forskjellige mekanismer for å gi varsel, men varsellinjen øverst i nettleservinduet blir den vanligste metoden. Du kan se et eksempel på en API utløser et varsel ved å besøke et nettsted som bruker HTML5 geolocation med en nettleser som støtter geolocation; de nyeste versjonene av alle de store nettleserne gjør
Feature:. Hvordan Mobile Apps utviklere kan Best Target Geolocation
Samtykke er prosessen med å skaffe bruker tillatelse for API for å få tilgang til enheten. Samtykke kan være implisitt eller eksplisitt. For eksempel, hvis du trykker på en "Ta et bilde" -knappen, du er implisitt gi tillatelse til at appen kan bruke kameraet. På den annen side, hvis du klikker på en "e-post en venn" -knappen, du er ikke implisitt gi Kontakter API tillatelse til å spam alle i kontaktdatabasen. Hver HTML5 API forutsetter at eksplisitt tillatelse kreves som standard, men definerer hvilke omstendigheter implisitt tillatelse er akseptabelt.
Minimering er kravet at API-er gjør det enkelt å samle så lite informasjon som er nødvendig for oppgaven.
Control er evnen til brukeren å administrere tillatelse valg. Brukere må kunne tilbakekalle en nettleser tilgang til en enhet etter at de har fått den. Eventuelt bør de få lov til å godkjenne og svarteliste applikasjoner.
Til slutt, er tilgang evnen til brukeren å vise og slette sin historie enhetstilgang dele med applikasjoner.
Geolocation er kanskje den mest potensielt personvern-invaderende HTML5 APIer. Interessant er det også en av de mest gjennomførte APIer. For å få en idé om personverntiltak for enkelt APIer enheten, er det nyttig å se på hvordan Geolocation gjorde det
Study. Geolocation Apps Tegn Brukere tross Personvern Bekymringer
§ 4 foreslås Geolocation API spesifikasjon er dedikert til personvern. Det deler bekymringer for personvernet i to fokusområder:. Hensyn for iverksettere av den Geolocation API (nettleser skapere) og for mottakere av stedsinformasjon (programvareutviklere)
Jobben med å designe selve mekanismene og brukergrensesnitt for å be om , innhenting og håndtering av tillatelser er igjen opp til selve nettleseren. Spesifikasjonen bare sier at for å overholde spesifikasjonen, stedsinformasjon må ikke oppnås uten tillatelse for at en user agent (en nettleser).
spesifikasjons stiller ekstra krav til mottakere av posisjonsdata , også. De må avsløre at de er innsamling av data, beskytte data mot uautorisert tilgang, tillater brukeren å oppdatere og slette alle data de lagrer, fortelle brukeren hvor lenge dataene skal lagres, fortelle brukeren om dataene skal sendes på nytt og avsløre hvordan dataene er sikret
Related:. Facebook Official: HTML5 Backers trenger å gå opp Mobile Arbeidet
nett~~POS=TRUNC leseren~~POS=HEADCOMP del av ligningen ikke er bekymringsfull. Nettleser beslutningstakere tar sitt ansvar for å gi et sikkert miljø på alvor. Mottakeren (Web app-utvikler) en del av bildet skal bekymre deg. De prosesser som en mottaker av posisjonsdata-eller data fra hvilken som helst enhet, for den saks skyld-oppfyller kravene i spesifikasjonen er for tiden opp til den enkelte utbygger. Noen utviklere er ikke engang klar over kravene, og det er ingen håndhevingsapparatet.
Selv om nettleseren spesifikt ber om stedsinformasjon kan innhentes, kanskje du har liten, om noen, kunnskap eller forsikring om at Opplysningene vil ikke bli lagret eller brukt til andre enn den du er godkjent formål. Dette er neste fronten i kampen om Web privatliv.
Løsninger for beskyttelse av personvernet langt mellom
The World Wide Web Consortium sin Platform for Privacy Preferences Project (P3P) er designet for flere år siden å takle nettopp denne typen problem ved å skape en standard språklige nettsteder kan bruke til å kommunisere sine retningslinjer for personvern. Med P3P, kan nettlesere informere brukerne om side retningslinjer og selv la dem velge bort å besøke nettsteder med politikken de ikke var komfortabel med. P3P aldri fanget på med nettleser beslutningstakere, imidlertid, og arbeidet har blitt suspendert.
I dag W3C personvernInteRest Group og Tracking Protection Working Group representerer bare to av de pågående arbeidet med å øke og standardisere sikkerhet og personvern på Web-og i HTML5.
Kanskje den mest bemerkelsesverdige fremskritt i nettleseren privatliv i de siste månedene er gjennomføringen av Do Not Track (DNT) spesifikasjon av alle store lesermaskin. Noen nettlesere, inkludert Internet Explorer 10, har gått så langt som å aktivere DNT standard
Rapport:. Mozilla Spars Med annonsegruppe Over Do-Not-TrackRelated: California justisministeren oppfordrer App utviklere å respektere brukernes personvern
DNT er en nettleser preferanse sendes via HTTP header til nettsteder. Som beskyttelse gå, det er faktisk ganske svak, som nettsteder i dag må frivillig følge en brukers preferanse til ikke spores.
Selv om reklamebransjen generelt har sagt det ville respektere DNT preferanser, lite har blitt gjort om det. Den foreslåtte California rett til å vite loven av 2013, for eksempel, ville tillate folk å spørre bedrifter om en rapport over hva virksomheten vet om dem. Etter å ha blitt motarbeidet av Internett-bransjen lobbyvirksomhet grupper, har rett til å vite handling blitt trukket fra hensynet til minst resten av 2013.
fraværende en levedyktig frivillig mekanisme for nettsteder å avsløre sin politikk, ser lovgivning som den eneste god løsning på et problem som bare blir verre som markedsførere samle mer data om brukerne. Lederen for Federal Trade Commission, Edith Ramirez, nylig oppfordret annonsen industrien til å gjøre gode på det DNT løftet. I mellomtiden Ikke spor lovgivning er foreslått i Kongressen, og saken får mer oppmerksomhet som standard fortsetter å bli hashed ut.
Chris Minnick kjører en web-design og utviklingsselskap og regelmessig lærer HTML5 klasser for Ed2Go. Ed Tittel er en full-time frilans skribent og konsulent som spesialiserer seg på web-kodespråk, informasjonssikkerhet og Windows operativsystemer. Sammen Minnick og Tittel er forfatterne av den kommende boken Begynnelsen Programmering med HTML5 og CSS3 For Dummiesas samt en rekke andre bøker.
Følg alt fra CIO.com på TwitterCIOonline, Facebook, Google + og Linkedin.
Les mer om web-tjenester i CIO webtjenester Drilldown.