面对新的安全问题，火狐浏览器的安全团队想到了使用新版本的网络超文本标记语言HTML5。“HTML5的网络应用程序非常丰富，该浏览器正开始试图管理十分繁杂的应用程序，而不仅仅是网页，”Mozilla安全问题专家Sid Stamm近日在华盛顿召开的Usenix安全专题讨论会上表示。

　　“也就是说我们有一个很大的攻击面需要考虑，”他说道，而同时他又表示了对HTML5的担忧，Opera浏览器的开发人员正在积极修复一个缓冲区溢出漏洞，这个漏洞可能使用HTML5的画布图像渲染功能被利用。

　　万维网联盟(W3C)发布新一套渲染网页标准(统称为HTML5)不可避免地会带来全新的安全漏洞吗?至少有一部分安全研究人员正在考虑这个问题。

　　“HTML5为网络世界带来了很多功能和能量，黑客们现在可以更多地对HTML5和JavaScript发动恶意攻击，甚至比以往任何时候都要容易，”安全研究人员Lavakumar Kuppan表示。

　　“W3C的重新设计是考虑到我们将开始在浏览器内执行应用程序，多年以来，我们已经见证了浏览器的安全性，”安全咨询公司Secure Ideas渗透测试员Kevin Johnson表示，“我们必须回过头来理解，浏览器是一种恶意环境。”

　　虽然按照惯例被命名为HTML5，HTML5也常用来形容相互关联标准套的集合，这些标准联合的话，可以用来构建成熟的网络应用程序。它们提供的功能包括页面格式化、离线数据存储、图像移交和其他功能。

　　所有这些新的功能将开始接受安全研究人员的研究。

　　在今年夏天，Kuppan和另一位安全研究人员公布了滥用HTML5离线应用程序缓存的方法，谷歌Chrome、Safari、Firefox和Opera浏览器测试版都已经部署了这个功能，并且都很容易被这种方法攻击。

　　研究人员认为，这是因为任何网站都可以在用户的计算机上创建一个缓存，并且，在某些浏览器中，这种缓存创建根本没有得到用户的明确许可，攻击者可以设置到一个网站的假的登录页面，例如社交网站或者电子商务网站，随后这种假冒页面可以被用来窃取用户的登录凭证信息。

　　其他研究人员则对这一发现的价值持不同意见。

　　“这是一个有趣的问题，但它似乎并没有为网络攻击者提供比现在更多的额外利用价值，”Chris Evans表示，他是VSFTP软件的创造者。

　　安全研究公司Recursion Ventures公司的首席研究人员Dan Kaminsky赞同这种说法，他认为这种攻击是对HTML5出现前的攻击的延续。“浏览器并不只是请求内容、渲染内容并把内容扔掉，浏览器还会存储内容 以备日后使用，Lavakumar观察到这个新一代缓存技术也将会有同样的特点。”