Семья и ребенок Технология Новая система веб-конфиденциальности может революционизировать

Новая система веб-конфиденциальности может революционизировать

| | Нет комментариев| 06:15


Исследователи создали новую систему, которая защищает частную жизнь интернет-пользователей, обладающую достаточной гибкостью, что позволяет  построить веб-приложения, объединяющие  данные от различных веб сайтов, существенно повышая уровень безопасности работы в сети.

Система COWL работает с Firefox от Mozilla и с браузером Chrome от Google, и предотвращает исполнение  вредоносного кода веб-сайта браузером, блокируя несанкционированный доступ к конфиденциальной информации пользователя.

Тестирование в браузерах  Chrome и Firefox показывает, что  система обеспечивает высокий уровень безопасности без ощутимого замедления скорости загрузки веб-страниц. COWL будет в свободном доступе для скачивания и использования. Команда разработчиков проекта, в том числе двое аспирантов из Стэнфорда (работающих в сотрудничестве с Mozilla), надеются, что  COWL будет широко принята веб-разработчиками.

В настоящее время конфиденциальность пользователей глобальной  сети  может быть нарушена вредоносным кодом, скрытым в, казалось бы, вполне добропорядочных веб-ресурсах. Модератор веб-сайта зачастую добавляет разного рода JavaScript-элементы, взятые на сторонних веб-сайтах, не понимая, что код содержит ошибки или является  вредоносным. Такой код может получить доступ к конфиденциальным данным в текущих же или других вкладках браузера, позволяя злоумышленнику  получить или изменить данные без ведома пользователя.

Исследовательская группа описывает COWL в статье, которая будет зачитана  на 11-й ежегодной техническая конференция USENIX, передовой площадке для проведения исследований операционных систем.

Соавтор проекта,  профессор Брэд Карп, сказал: «COWL достигает как конфиденциальности для пользователя, так и гибкости для разработчика веб-приложений. Достижение обеих этих целей, которые часто находятся в оппозиции во многих системных конструкциях, является одной из основных проблем в исследованиях по безопасности компьютерных систем».

Новая система обеспечивает свойство, известное как «конфайнмент», который был известен с 1970 года, но на практике трудноосуществим  в реальных системах, таких как веб-браузеры. Если программа JavaScript, встроенная в одном веб-сайте, считывает информацию, предоставленную другим сайтом (законно или нет), COWL предоставляет данные для совместного использования, но затем ограничивает передачу информации стороне, лишенной соответствующих полномочий. Вся конфиденциальная информация при этом остается в пределах браузера.

Соавтор, профессор Дэвид Мэзиерес (Стэнфордский университет информатики), сказал: «Механизмы защиты для интернета должны идти в ногу с быстрым развитием сети. Текущие меры, такие как политика SOP, работают, блокируя  программы JavaScript, включенные в одном веб-сайте (злонамеренно или нет) от чтения данных, принятых отдельным веб-сайтом. Этот хрупкий подход не работает для современных, так называемых, «гибридных приложений» —  приложений, которые сочетают информацию из нескольких веб-сайтов. По существу, SOP не подходит множеству  веб-сайтов, существующих на сегодняшний день. Предыдущие попытки ослабления SOP с целью поддержания работоспособности таких механизмов обмена информацией, как CORS, делали SOP уязвимым для  вредоносного кода».

При создании современных веб-сайтов, веб-разработчики обычно включают JavaScript-библиотеки, написанные сторонними авторами. Исследователи приводят статистические данные, согласно которым, 59 % из топ-1  000 000 веб-сайтов и 77 % из топ-10 000 веб-сайтов включают библиотеку JavaScript,  написанную  третьей стороной. Такое включение  библиотек JavaScript опасно, так как, хотя код и содержит в  себе функции, необходимые  веб-разработчикам, он также может содержать вредоносный программный код, который  крадет данные пользователя браузера. В таких случаях SOP не может защитить конфиденциальные данные, так как включенные библиотеки размещаются на том  же сайте (т.е. под тем же доменным именем в интернете).

Профессор Карп сказал: «Блокируя веб-приложения, которые синтезируют контент из нескольких веб-сайтов, SOP фактически заставляет веб-разработчиков создавать дизайнерские решения, которые ставят конфиденциальности пользователей под угрозу. Это проблема у нас решается с COWL».

Например, одно полезное веб-приложение позволяет пользователям компьютера проверить, что они не переплачивает за предметы, заказанные на Amazon. Приложению придется брать информацию из банковской выписки пользователя и Amazon, объединить ее и представить в браузере. Чтобы сделать это, веб-разработчик должен был бы написать код, который интегрировал бы данные веб-сайта банка с данными с сайта Amazon, но SOP будет блокировать это, так как два источника данных размещаются под разными доменными именами. Сегодняшние веб-разработчики обходят это, написав приложение, которое просит учетную информацию  пользователя и для банка, и для Amazon, для того, чтобы  войти в обе службы сбора информации как будто это пользователь. Это ставит под угрозу частную жизнь пользователя, поскольку поставщик приложения получает полный доступ к системе дистанционного банковского обслуживания пользователя и счету Amazon.

Related Post

Прототип электронной кожи позволит людям воспринимать магнитные поля на ощупьПрототип электронной кожи позволит людям воспринимать магнитные поля на ощупь

| | Нет комментариев| 16:33


Немецкие и японские ученые завершили работу над гибким нанодатчиком для человеческой кожи, который позволяет людям воспринимать магнитные волны на ощупь. Способность чувствовать магнитные поля присуща многим представителям животного мира, она помогает животным

Влияние лесных пожаров на климатВлияние лесных пожаров на климат

| | Нет комментариев| 03:21


Ученые раскрыли ключевые признаки так называемого «коричневого углерода» от лесных пожаров — взвеси мелких частиц в атмосфере, согревающие свойства которых не были приняты во внимание при построении современных климатических моделей.