Browsers brengen de privacy en veiligheid van gebruikers in gevaar door allerlei functionaliteiten te bieden die helemaal niet noodzakelijk zijn of door websites worden gebruikt, zo stellen computerwetenschappers van de Universiteit van Illinois aan de hand van eigen onderzoek.
De laatste jaren hebben browsers tal van nieuwe features gekregen die allerlei soorten webapplicaties mogelijk maken. Ook zijn functionaliteiten die voorheen via plug-ins werden toegevoegd nu een kernonderdeel van de browser geworden. Sommige van deze features brengen ook de privacy en veiligheid van gebruikers in gevaar door fouten in de implementatie, onbedoeld gebruik of de manier waarop ze zijn samengesteld, aldus de onderzoekers.
Op dit moment is er nog geen methode om de voordelen van een feature tegen de nadelen af te wegen. Een rechtenmodel waarbij alleen de noodzakelijke functionaliteit van de browser wordt ingeschakeld zou veiligheidsvoordelen hebben, maar kan voor problemen met de werking van bepaalde websites zorgen. De onderzoekers ontwikkelden daarom een model dat de voor- en nadelen afweegt als websites standaard toegang tot een bepaalde browserfeature hebben.
Het model werd gebaseerd op het aantal websites dat een bepaalde feature vereist voor het bieden van een dienst waar gebruikers echt iets aan hebben tegenover het aantal kwetsbaarheden in dergelijke features, het aantal regels code en academische aanvallen die met de functionaliteit samenhangen. Het model werd vervolgens op 74 web-programmeerinterfaces (api's) binnen moderne browsers toegepast.
"We ontdekten dat het standaard toegang geven van websites tot grote delen van de web-api behoorlijke security- en privacyrisico's met zich meebrengt zonder overeenkomstige voordelen", aldus de onderzoekers. Als een voorbeeld noemen de onderzoekers functionaliteit waardoor websites grafische berekeningen kunnen uitvoeren. Eerlijke websites maken hier zelden gebruik van, maar kwaadaardige websites kunnen hiermee de security en privacy van gebruikers schaden.
Om de impact van bepaalde features te testen ontwikkelden de onderzoekers een browser-extensie waarmee gebruikers de toegang tot risicovolle features per website kunnen instellen. Vervolgens werd de extensie vergeleken met twee beveiligde browserconfiguraties. Dan blijkt dat het blokkeren van 15 van de 74 web-api's die standaard in browsers staan ingeschakeld ongeveer de helft van de gerelateerde beveiligingslekken voorkomt, zonder dat dit gevolgen voor bijna 95 procent van de geteste websites heeft.
"Uiteindelijk zagen we dat ongeveer 25 procent van de web-api's grote risico's voor security en privacy vormden en zonder gevolgen voor de werking van websites kan worden geblokkeerd", zegt onderzoeker Peter Snyder. Hij stelt dat door het blokkeren van riskante functionaliteit de hoeveelheid code die een website kan benaderen ook wordt beperkt. "Hoe minder code er via de web-api beschikbaar is, des te veiliger websites zullen zijn", merkt hij op.
"Simplistische aanpakken zoals het verwijderen van elke feature die niet absoluut noodzakelijk is zijn geen praktische oplossingen voor dit probleem", aldus de conclusie van de onderzoekers. Ze stellen dat het belangrijk is dat gebruikers zelf kunnen bepalen tot welke features websites toegang hebben. Zo blijven websites werken en kan in risicovolle situaties de beschikbare featureset worden aangepast. Het onderzoek (pdf) wordt volgende week tijdens een securityconferentie in Dallas gepresenteerd.
Deze posting is gelocked. Reageren is niet meer mogelijk.