0 |
Коллективная разработка UCL, Stanford Engineering, Google, Chalmers и Mozilla Research призвана защитить приватность пользователей Интернета и обеспечить необходимую гибкость для построения веб-приложений, использующих информацию со многих сайтов Сети. Комбинация заявленных качеств может коренным образом улучшить безопасность онлайнового времяпровождения.
Новая система Confinement with Origin Web Labels, сокращенно, COWL, работает с Mozilla Firefox и версиями open-source браузеров Google Chrome. Она препятствует попаданию чувствительной информации в чужие руки при посещении веб-сайтов с вредоносными программами, и, в то же время, позволяет отображать на веб-странице контент из многочисленных источников, — неотъемлемое свойство современных веб-приложений.
Сегодня 59% из миллиона самых популярных сайтов и 77% из первых 10 тысяч содержат библиотеки JavaScript, написанные сторонними разработчиками, степень благонадежности которых неизвестна. Наряду с нужными, такие скрипты могут выполнять недокументированные, шпионские функции. Современный механизм обеспечения безопасности, Same Origin Policy (SOP), работает запрещая встроенным сценариям чтение данных с постороннего сайта. Такой подход неприемлем для большинства новейших mashup-приложений, агрегирующих сведения со многих сайтов. Ослабленные же версии SOP, такие как Cross-Origin Resource Sharing (CORS), тривиально выламываются злоумышленниками.
Как отмечает соавтор проекта, профессор UCL Computer Science Брэд Карп (Brad Karp), COWL использует концепцию изолированной области (песочницы), которая известна еще с 1970-х годов, но оказалась сложной для реализации в веб-браузерах. Она изолирует программы JavaScript, выполняя их в самостоятельных вкладках браузера. Если встроенный в страницу скрипт считывает информацию с другого сайта, система разрешает прием данных, но потом блокирует попытки их неавторизованной передачи.
Исследовательская команда продемонстрировала применение COWL на практике, создав четыре приложения с прежде недостижимым уровнем защиты: редактор зашифрованных документов, стороннее mashup-приложение, менеджер паролей и безопасный веб-сайт с неблагонадежной библиотекой. Тестирование прототипов COWL для Chrome и Firefox показало, что данная система обеспечивает надежную защиту без заметного замедления загрузки страниц.
Команда разработчиков обсудила особенности COWL в статье, которая будет издана в Материалах 11 Симпозиума USENIX по проектированию и реализации операционных систем.
Начиная с 15 октября эта система будет предоставлена для бесплатной загрузки и использования на сайте cowl.ws.
Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365
0 |