image

Onderzoekers voorzien Chrome en Firefox van extra security

zondag 11 januari 2015, 16:09 door Redactie, 3 reacties

Onderzoekers hebben een nieuw beveiligingssysteem voor Mozilla Firefox en Google Chrome ontwikkeld dat de privacy van gebruikers moet beschermen en tegelijkertijd webontwikkelaars meer mogelijkheden geeft. Het systeem heet COWL, wat staat voor Confinement with Origin Web Labels en bepaalt hoe data worden gedeeld. Zo moet het voorkomen dat kwaadaardige of schadelijke code gevoelige informatie lekt, terwijl webapplicaties content van meerdere bronnen kunnen weergeven.

De wetenschappers van de Universiteit van Stanford hebben COWL ontwikkeld als antwoord op een online trend waarbij webontwikkelaars code gebruiken die ze niet zelf hebben geschreven. "Het hergebruik van bestaande code is een reden waarom het web zo succesvol is. Helaas is het gebruik van door derden ontwikkelde code ook een beveiligings- en privacyrisico. Tenzij je de omvang van Google hebt is het onmogelijk om alles te herschrijven om dit risico weg te nemen", zegt wetenschapper Deian Stefan.

Tenminste 77% van de 10.000 best bezochte websites op internet gebruiken code die door andere ontwikkelaars zijn gemaakt. Dit houdt in dat schadelijke code in de browser terecht kan komen. COWL voegt een beveiligingslaag toe om te voorkomen dat schadelijke code privégegevens kan lekken. Daarbij richt het zich vooral op gegevens die door JavaScript worden verwerkt.

MAC

Het idee voor COWL is gebaseerd op mandatory access control (MAC), een idee dat als sinds de jaren 1970 bestaat. Op oude militaire mainframes zorgt MAC ervoor dat gebruikers die geheime bestanden mochten lezen geen bestanden met een lagere bevoegdheid konden wijzigen. Dit moest voorkomen dat gevoelige informatie al dan niet bewust werd verspreid. De wetenschappers hebben MAC nu aan Firefox en Chrome toegevoegd en ontwikkelaars een manier geboden om het nieuwe beveiligingssysteem aan hun JavaScriptcode toe te voegen.

De truc hierbij was ervoor te zorgen dat JavaScriptcode geen data met websites deelde waar dit niet de bedoeling was. De oplossing werd gevonden in het gebruik van "data-labels", waarmee ontwikkelaars kunnen aangeven welke websites de data kunnen lezen en gebruiken. De labels volgen de data, zelfs als die wordt gedeeld, en COWL zorgt ervoor dat geen enkele code de labels negeert.

Volgende stap

De volgende stap voor de onderzoekers is ervoor te zorgen dat COWL een standaard wordt, wat mogelijk een jaar kan duren. De hoop is om deze maand een eerste publieke "draft" klaar te hebben, zodat het World Wide Web Consortium (W3C) ernaar kan kijken. "We kunnen onze twee aangepaste browsers uitbrengen, maar dat zou de wereld niet veranderen", zegt wetenschapper David Mazieres. Op de website van de wetenschappers is alvast een aangepaste Firefox-versie met COWL te downloaden. Deze versie is echter alleen beschikbaar voor Linux en Mac OS X.

Reacties (3)
11-01-2015, 16:12 door Anoniem
In ieder geval een goed streven , ik ga het eens even downen .
12-01-2015, 00:15 door johanw - Bijgewerkt: 12-01-2015, 00:15
De oplossing werd gevonden in het gebruik van "data-labels", waarmee ontwikkelaars kunnen aangeven welke websites de data kunnen lezen en gebruiken.
Hmmm. De meeste bescherming heb je gewoonlijk juist nodig tegen websites die je informatie willen delen met clubs als Facebook en Google. Dit gaat daar niet tegen beschermen omdat het de ontwikkelaars juist die optie geeft. Dit lijtk me eerder iets om DRM systemen in te implementeren om bv. plugins als Youtube downloaders te saboteren. Ik verwacht dat dit eerder tegen dan voor de gebruikers ingezet gaat worden.
12-01-2015, 11:21 door Anoniem
Door johanw:Hmmm. De meeste bescherming heb je gewoonlijk juist nodig tegen websites die je informatie willen delen met clubs als Facebook en Google. Dit gaat daar niet tegen beschermen omdat het de ontwikkelaars juist die optie geeft.
Het neemt die optie niet weg, maar het voegt in dat opzicht ook niets toe, informatie delen met clubs als Facebook en Google lukt nu ook al uitstekend. Dit pretendeert niet een oplossing voor alle beveiligingsproblemen te zijn, dit richt zich op een heel specifieke situatie: de maker van een webapplicatie die JavaScript-libraries van derden gebruikt om verwerking in de browser (client-side dus) te faciliteren loopt het risico dat zo'n library naar huis belt met privégegevens. Dit gaat dus niet om wat een ontwikkelaar van plan is te doen, maar wat hij ongewild in huis haalt door code van derden te incorporeren. En dit systeem creëert een soort sandboxje om die code in uit te voeren die dat soort ongewenste gedrag blokkeert.
Dit lijtk me eerder iets om DRM systemen in te implementeren om bv. plugins als Youtube downloaders te saboteren. Ik verwacht dat dit eerder tegen dan voor de gebruikers ingezet gaat worden.
Dat zie ik niet direct voor me. COWL blokkeert de mogelijkheid van via de COWL-API aangeroepen JavaScript-functies om netwerk-I/O te plegen. Voorkomen dat een video gedownload kan worden is precies het omgekeerde: alleen een specifiek onderdeeltje van de hele webapplicatie mag de server benaderen en de rest van de pagina mag dat niet. Dat is niet wat COWL faciliteert. Dat sluit niet per se uit dat er geen constructies mee te bouwen zijn die de bedoeling van COWL perverteren, maar aangezien die videokanalen nu ook al hun eigen Flash-players gebruiken (waar COWL trouwens niet over gaat) denk ik dat Youtube nu al de de mogelijkheden heeft om dit soort dingen te bouwen en daarvan niet afhankelijk is van COWL. Bedenk dat zo'n downloader niet door code van YouTube wordt aangeroepen en dus ook niet in een sandbox gezet kan worden via de COWL-API.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.