Περίληψη |
Οι σύγχρονοι περιηγητές ιστού προσφέρουν στους προγραμματιστές μεγάλη
ποικιλία ισχυρών δυνατοτήτων, επιτρέποντάς τους να μεταφέρουν τη λογική
εφαρμογών ιστού προς τη μεριά των χρηστών ολο και περισσότερο. Αυτή η αλλαγή
παραδείγματος στοχεύει στη βελτίωση της ποιότητας εμπειρίας των τελικών χρηστών,
ελαχιστοποιώντας τις καθυστερήσεις δικτύου και αυξάνοντας την επεκτασιμότητα των
υπηρεσιών Ιστού.
Στον πυρήνα αυτών των λειτουργιών βρίσκονται οι επεκτάσεις περιηγητών, οι
οποίες έχουν πρόσβαση σε ένα πλούσιο σύνολο εργαλείων ώστε να μπορούν να
ικανοποιήσουν ειδικές ανάγκες χρηστών, όπως την προσαρμογή του περιβάλλοντος
διεπαφής χρήστη ή τον αποκλεισμό διαφημίσεων. Οι επεκτάσεις έχουν επίσης ευρεία
υιοθέτηση στη βιομηχανία, έχοντας γίνει μια πολύ δημοφιλής επιλογή μεταξύ εταιρειών
του διαδικτυακού οικοσυστήματος, για την ανάπτυξη και συντήρηση της λογικής των
υπηρεσιών τους στη μεριά του χρήστη. Δυστυχώς, κακόβουλοι παράγοντες
εκμεταλλεύονται συχνά τις επεκτάσεις για να εκτελέσουν επιθέσεις τύπου Man-in-theBrowser, όπου αυτές λειτουργούν ως όχημα κατασκοπείας, ηλεκτρονικού ψαρέματος
και απάτης εις βάρος απληροφόρητων χρηστών. Σε ορισμένες περιπτώσεις, η απόκτηση
παράνομης πρόσβασης σε έναν προνομιούχο χρήστη δημιουργεί έναν πιο ισχυρό φορέα
επίθεσης κατά της υπηρεσίας ή των πολυάριθμων χρηστών της.
Με αφορμή την έλλειψη αποτελεσματικών αντιμέτρων από τους κύριους
προμηθευτές περιηγητών, αυτή η εργασία προτείνει το WRIT, ένα πρακτικό πλαίσιο
κώδικα που επιτρέπει σε ιστότοπους και παρόχους υπηρεσιών διαδικτύου να
προστατεύουν κρίσιμη λειτουργικότητα από κακόβουλες επεκτάσεις. Ο πρωταρχικός
στόχος του WRIT είναι να δημιουργήσει και να διατηρήσει ένα αξιόπιστο περιβάλλον
εκτέλεσης απομονωμένο τόσο από συμβατικό κώδικα στη μεριά του χρήστη όσο και από
επεκτάσεις, όπου ευαίσθητος κώδικας μπορεί να αναπτυχθεί και να εκτελεστεί
ασφαλώς. Στη συνέχεια, το WRIT παρέχει τα απαραίτητα εργαλεία για να επιβεβαιώσει
την ακεραιότητα των εξερχόμενων αιτημάτων ιστού και να επαληθεύσει την
αυθεντικότητά τους, διασφαλίζοντας ότι προκλήθηκαν από την ενέργεια ενός χρήστη και
όχι από κακόβουλη επέκταση.
Αξιολογούμε τις ιδιότητες ασφαλείας του WRIT αναλύοντας τις πιθανές επιθέσεις
που μπορεί να εκτελέσει μία επέκταση ενάντια στον κώδικα μιας υπηρεσίας ιστού και
στο ίδιο το WRIT. Κάθε σενάριο επίθεσης εκτελείται και δοκιμάζεται ενάντια στο WRIT
στην πράξη μέσω μιας μεμονωμένης προσαρμοσμένης επέκτασης. Πραγματοποιούμε
επίσης μια αξιολόγηση απόδοσης δοκιμάζοντας την πρωτότυπη υλοποίηση του WRIT
υπό διαφορετικές συνθήκες δικτύου. Τα πειραματικά μας αποτελέσματα δείχνουν ότι
προσθέτει μία αμελητέα καθυστέρηση 7.29 ms σε ευαίσθητες ενέργειες που
ενεργοποιούνται από χρήστες, όπως η δημοσίευση ενός μηνύματος σε κοινωνικά μέσα.
|