Internet Security Threat Report 2014
Pesquisadores desenvolveram o que eles dizem é um novo sistema de privacidade na web para o Google Chrome e Mozilla Firefox: estamos disse ele bloqueia código JavaScript desonesto de canalizar informações confidenciais para criminosos.
O Confinamento com Etiquetas Web Origem (COWL) tenta proteger sites que dependem de bibliotecas JavaScript escritos por terceiros - bibliotecas que podem ser secretamente copiar senhas e outros dados vitais de páginas para Crims.
Essas libs errantes poderiam ter sido mal concebido, mal aplicada, deliberadamente escrito para ser malicioso ou comprometido por hackers adulteração com o código fonte.
Em um documento [PDF] publicado esta semana no Proceedings of the 11th USENIX Simpósio sobre Sistemas Operacionais Projeto e Implementação, a equipe COWL observa que 59 por cento dos top de um milhão de sites, e 77 por cento dos top 10 mil sites, classificados por tráfego mensal em os EUA, incorporar jQuery - o site oficial para o qual apenas foi infiltrada por meliantes , embora o código da biblioteca não foi alterada.
Talvez os desenvolvedores simplesmente não deve usar o código não auditado ou esboçado com origem na produção, mas o ponto da equipe é que o uso de bibliotecas de terceiros é predominante - e isso é um risco de segurança. Há também a ironia de software de terceiros proteger programadores de software de terceiros.
COWL, que estará disponível como um download gratuito a partir de 15 de outubro de adiciona uma API de nível DOM para Firefox e Chrome. Esta interface do software é usado por desenvolvedores web para garantir que os dados só é compartilhado com os servidores por trás domínios nomeados - e, portanto, não com quaisquer outras máquinas.
Terceiros código JavaScript é carregado em contextos, que trocam blobs de dados através de mensagens; se um contexto tenta acessar o conteúdo de um blob, ele só pode acessar os servidores em uma whitelist.
Um exemplo é dado aqui . A equipe avalia a sua API é fácil de usar, e afirma que não reduz a velocidade de processamento do navegador de forma apreciável.
Para testar isso a equipe construiu quatro aplicações web utilizando a API COWL: um editor de documento criptografado, uma aplicação mashup de terceiros, um gerenciador de senhas, e um site que inclui jQuery. Usando COWL não diminuiu o navegador por mais de um segundo, e em um caso causou apenas um atraso de cinco milissegundos, nos é dito.
Como funciona
"Nós não mudamos o compilador JIT ou o tempo de execução JavaScript em todos", Brad Karp, professor de sistemas de computadores e redes da University College London (UCL) disse ao The Register.
"O nosso sistema não é verificar quando o sistema está em execução, mas nos limites entre contextos de navegação. Cheques de capuz só acontecem quando há comunicação entre esses contextos."
COWL foi desenvolvido por Karp e outro estudante de doutoramento na UCL, que agora está trabalhando no Google, juntamente com o Professor David Mazières do departamento de ciência da computação da Universidade de Stanford e dois de seus alunos de doutoramento em colaboração com Mozilla Research.
Karp disse Mozilla e Cromo foram alvo de COWL porque ambos são open source. Safari, que usa Webkit, da mesma forma como o Chrome, também deve ser usado com capuz, mas internos do Internet Explorer são um pouco diferentes para que COWL pode não funcionar com software de Redmond.
"O que temos alcançado em COWL é um sistema que permite que os desenvolvedores web a construir aplicativos ricos em recursos que combinam dados de diferentes sites sem a necessidade de que os usuários compartilham seus dados de login diretamente com os aplicativos da Web de terceiros, ao mesmo tempo garantindo que o usuário sensível se os dados observados por um tal pedido não deixar o browser ", disse Deian Stefan, doutorando líder do projeto na Universidade de Stanford.
"Ambos os desenvolvedores web e usuários de vencer."
Apenas uma vez que o código é liberado, examinado, e os outros não podem encontrar formas de vazamento de dados a partir de contextos de capuz, podemos ter tanta certeza. ®
via Alimentação (Feed)
Nenhum comentário:
Postar um comentário