Het Europees agentschap voor netwerk- en informatiebeveiliging (ENISA) waarschuwt voor meer dan vijftig beveiligingsdreigingen die in HTML5 aanwezig zijn. HTML5 wordt de nieuwe standaard voor het web, maar volgens ENISA wordt veiligheid bij de ontwikkeling ervan deels vergeten. Op dit moment werkt het W3C (World Wide Web Consortium) aan belangrijke revisies van de standaard. Tot vandaag konden er op- en aanmerkingen worden ingediend.

"Voor een keer hebben we de mogelijkheid om goed over veiligheid na te denken, voordat de standaard wordt bekrachtigd, in plaats van het later proberen op te lossen. Dit is een unieke kans om security-by-design in te bouwen", zegt Giles Hogben van ENISA. Hij is één van de co-auteurs van het 61 pagina's tellende rapport.

Browserprofielen
Eén van de zaken waar ENISA zich zorgen over maakt, is "form tampering". Daardoor is het mogelijk om knoppen buiten een invulformulier te plaatsen. Een aanvaller kan via eenvoudige HTML-injectie ervoor zorgen dat de gebruiker een ingevuld formulier naar een server stuurt die de aanvaller in handen heeft.

Andere problemen zijn onbeveiligde toegang tot gevoelige gegevens, het specificeren en handhaven van veiligheidsbeleid, niet goed gespecificeerde features en nieuwe manieren om controlemechanismen te omzeilen.

Verder doet het Europese agentschap ook aanbevelingen voor browserontwikkelaars, applicatieontwikkelaars en eindgebruikers. De laatste groep krijgt als advies om aparte browserprofielen voor verschillende taken te gebruiken. Zodoende kan men normale browsen van het gevoeligere activiteiten zoals internetbankieren scheiden. Ook moeten eindgebruikers sandboxing met verschillende instellingen en permissies voor verschillende contexten toepassen.