×

兹马思-数学第一资源

web浏览器中JavaScript安全策略及其实施机制研究。(英语) Zbl 1283.68063
总结:我们观察到基于web的应用程序每天都在快速增长。这些应用程序在web浏览器中执行,它们与属于用户的各种信息交互。web应用程序的动态性是通过使用web脚本(尤其是JavaScript)来实现的,JavaScript通过浏览器提供的一组api访问这些信息。不幸的是,有些脚本恶意地使用给定的功能。在过去的十年里,已经发现了大量侵犯用户隐私和安全的基于网络的攻击。
因此,web脚本安全一直是一个活跃的研究领域。计算机安全研究人员和web开发人员都提出了许多技术来在web浏览器中实施不同的安全和隐私策略。在所有关于web浏览器安全性的研究中,我们综述了基于运行时监控的动态技术和安全信息流技术。然后我们结合并比较它们执行的安全和隐私策略,以及执行的方式。
我们针对两类读者:1)对于计算机安全研究人员,我们概述了web浏览器的安全相关组件和基于这些组件的安全策略,并展示了在web浏览器环境中如何应用著名的强制技术;2) 对于web开发人员,我们建议对安全策略进行分类,比较文献中提出的现有执行机制,并解释它们提供的形式保证。

理学硕士:
68米11 Internet主题
PDF格式 BibTeX公司 XML 引用
全文: 内政部
参考文献:
[1] 阿克韦,D。;巴特,A。;林,P。E、 。;米切尔,J。;Song,D.,走向网络安全的正式基础,(第23届计算机安全基础研讨会论文集,CSF?10,(2010)),290-304
[2] Alexa.com,Alexa top网站,网址:
[3] Austin,T.,用于firefox浏览器的Zaphod插件,可从
[4] 奥斯汀,T。H、 。;Flanagan,C.,高效纯动态信息流分析,(2009年编程语言与安全分析研讨会论文集),113-124
[5] 奥斯汀,T。H、 。;弗兰纳根,C.,许可动态信息流分析,(2010年编程语言与安全分析研讨会论文集),ACM出版社,3:1-3:12
[6] 奥斯汀,T。H、 。;Flanagan,C.,动态信息流的多方面(第39届ACM SIGPLAN-SIGACT编程语言原理研讨会论文集),ACM出版社,165-178·Zbl 1321.68034
[7] Baron,D.,通过CSS防止对用户历史记录的攻击:访问选择器(在线),(2010年4月)
[8] 鲍尔,L。;利加蒂,J。;Walker,D.,编辑自动机:运行时安全策略的实施机制,国际信息安全杂志,4,2-16,(2005)
[9] 比洛瓦,N。;德弗里斯,D。;马萨奇,F。;Piessens,F.,浏览器模型的无功干扰,(第五届网络和系统安全国际会议论文集,NSS 2011,(2011),IEEE计算机协会出版社,97-104
[10] 波哈农,A。;皮尔斯,B。C、 ,Featherweight firefox:Formaling the core of a web browser(Featherweight firefox:Formaling the core of web browser),(2010年USENIX网络应用程序开发会议论文集),USENIX协会)
[11] 丘格,R。;梅斯特,J。;贾拉,R。;Lerner,S.,《javascript的分阶段信息流》,《ACM SIGPLAN 2009编程语言设计与实现会议论文集》(2009年),ACM出版社,50-62页
[12] De Groef,W.,firefox征兵-开发者报告(2010年),可在
[13] 德格罗夫,W。;德弗里斯,D。;尼基佛拉基斯,N。;Piessens,F.,Flowfox:具有灵活和精确信息流控制的web浏览器,(第19届ACM通信与计算机安全会议论文集》,CCS第12期,(2012年),ACM出版社,748-759
[14] 德格罗夫,W。;德弗里斯,D。;Piessens,F.,《web浏览器的更好的安全性和隐私性:技术调查和新实现》,(第八届安全和信任正式方面国际研讨会论文集,(2012年),Springer Verlag),21-38
[15] 德莱克,P。;十克,M。;德米特,L。;皮尔森,F。;Joosen,W.,《web Mashup的安全性:调查》,(第15届北欧安全IT系统会议论文集》,NordSec?10,(2010),Springer Verlag),223-238
[16] 德莱克,P。;德米特,L。;Philipparts,P。;Piessens,F.,下一代网络标准的安全分析,(2011),欧洲网络和信息安全局(ENISA),技术报告
[17] 丹尼,D。E、 。;丹尼,P。J、 安全信息流程序认证,ACM通信,20504-513,(1977)·Zbl 0361.68033
[18] 德弗里斯,D。;Piessens,F.,《通过安全多执行实现非干扰》,(2010年IEEE安全和隐私研讨会论文集,(2010年),IEEE计算机学会出版社),109-124
[19] Eich,B.,Narcissus js在js中实现,可在
[20] 埃尔拉德,T。;菲尔曼,R。E、 。;Bader,A.,《面向方面的编程-介绍,ACM的通信》,44,29-32,(2001)
[21] Falcone,Y.,你应该更好地执行而不是验证,(第九届运行时验证国际研讨会论文集,RV?10,(2010),Springer Verlag Heidelberg),89-105
[22] Flanagan,D.,Javascript:最终指南,(2011年),O?Reilly Media,电子书ISBN:978-1-4493-0212-2
[23] Guarnieri,S。;Livshits,B.,湾流:流式javascript应用程序的阶段性静态分析,(2010年USENIX Web应用程序开发会议论文集,USENIX协会,(2010年)),6
[24] 瓜尔尼。;利维希茨。B、 ,Gatekeeper:javascript代码安全性和可靠性策略的静态实施(第18届USENIX安全研讨会论文集,USENIX安全性第09期,(2009),USENIX协会),151-168
[25] 格尔尼奇。五十、 《利用动态信息流分析进行保密性实施》(2007),堪萨斯州立大学博士论文
[26] 古哈,A。;萨夫托尤,C。;Krishnamurthi,S.,javascript的本质,(第24届欧洲面向对象编程会议论文集,(2010)),126-150
[27] 哈拉拉克,O。;Vigna,G.,《在mozilla中检测恶意javascript代码》,《第十届IEEE复杂计算机系统工程国际会议论文集》,2005年第5期,第85-94页
[28] 赫丁,D。;Sabelfeld,A.,javascript核心的信息流安全(第25届计算机安全基础研讨会论文集,CSF?12,(2012),IEEE出版社),3-18
[29] 亨特,S。;Sands,D.,关于流敏感安全类型(第33届ACM SIGPLAN-SIGACT编程语言原则研讨会论文集(2006年),纽约ACM),79-90·Zbl 1370.68053
[30] 回复:转介人:(原文如此),(1995年3月9日),答复罗伊·菲尔丁
[31] 雅克,A。;Olejnik,L.,web浏览器历史检测的可行性和现实意义,(2010年Web2.0安全和隐私研讨会论文集)
[32] 张,D。;贾拉,R。;勒纳S。;Shacham,H.,《javascript web应用中侵犯隐私信息流的实证研究》,《第17届ACM通信与计算机安全会议论文集》,CCS第10期,(2010),ACM出版社,270-283
[33] Johns,M.,关于javascript恶意软件和相关威胁,计算机病毒学杂志,4161-178,(2008)
[34] 菊池,H。;余,D。;钱德尔,A。;稻村,H。;Serikov,I.,Javascript instrumentation in practice,(第六届亚洲编程语言和系统研讨会,(2008年),Springer Verlag),326-341
[35] 李,Z。;张克。;Wang,X.,Mash-IF:客户端mashup中的实用信息流控制(第40届IEEE/IFIP国际可靠系统和网络会议论文集),DSN 2010,(2010),IEEE出版社,251-260
[36] 利加蒂,J。;鲍尔,L。;Walker,D.,《非安全策略的运行时执行》,ACM信息与系统安全事务,12,1-41,(2009)
[37] 罗,Z。;Rezk,T.,Mashic编译器:基于帧间通信的mashup沙盒(第25届IEEE计算机安全基础研讨会论文集,马萨诸塞州剑桥市,(2012年),IEEE),157-170
[38] 马菲斯S。;米切尔,J。;Taly,A.,javascript的操作语义,(第六届编程语言和系统亚洲研讨会,(2008),Springer Verlag),307-325,(2008),伦敦帝国理工学院计算系,另见技术报告DTR08-13
[39] 马菲斯S。;米切尔,J。;Taly,A.,使用过滤器、重写和包装器隔离javascript,(第14届欧洲计算机安全研究研讨会论文集,计算机科学课堂讲稿,第5789卷,(2009年)),505-522
[40] 马菲斯S。;米切尔,J。C、 。;Taly,A.,不可信web应用程序的对象功能和隔离,(2010年IEEE安全与隐私研讨会论文集),IEEE计算机协会出版社,125-140
[41] 马菲斯S。;Taly,A.,《基于语言的不可信javascript隔离》,《2009年IEEE计算机安全基础研讨会论文集》(2009年),IEEE计算机协会出版社,77-91
[42] 梅耶,J。R、 。;米切尔,J。C、 《第三方网络跟踪:政策与技术》,《2012年IEEE安全与隐私研讨会论文集》(2012年),IEEE计算机协会出版社,413-427
[43] 梅耶罗维奇,L。;Livshits,B.,义务兵:为浏览器中的javascript指定和实施细粒度的安全策略,(2010年IEEE安全和隐私研讨会论文集,(2010年),IEEE计算机社会出版社,481-496
[44] Microsoft,通过仅限HTTP的Cookie减少跨站点脚本编写。
[45] 尼基佛拉基斯,N。;因弗尼齐,L。;卡普拉维洛斯,A。;阿克,S。五、 。;约森,W。;克鲁格,C。;皮尔森,F。;Vigna,G.,你就是你所包括的:远程javascript包含的大规模评估,(第19届ACM通信和计算机安全会议论文集》,CCS第12期,(2012年),ACM出版社,736-747
[46] 尼基佛拉基斯,N。;米尔特,W。;Younan,Y。;约翰,M。;Joosen,W.,Sessionshield:针对会话劫持的轻量级保护,(2011年工程安全软件和系统国际研讨会论文集,(2011年),Springer Verlag),87-100
[47] 尼基佛拉基斯,N。;范阿克,S。;皮尔森,F。;Joosen,W.,探索推荐匿名服务的生态系统,(2012年隐私增强技术研讨会论文集,(2012年),Springer Verlag),259-278
[48] 丰,P。H、 。;沙,D。;Chudnov,A.,轻量级自我保护javascript(ACM信息、计算机和通信安全研讨会论文集),ASIACS?09,(2009),ACM出版社,47-60
[49] 波利茨,J。G、 。;埃利奥普洛斯,S。A、 。;古哈,A。;Krishnamurthi,S.,ADSSafety:基于类型的javascript沙盒验证,(第20届USENIX安全研讨会论文集,USENIX安全第11期,(2011年),USENIX协会)
[五十] 罗埃纳,F。;科诺,T。;Wetherall,D.,《网络上第三方跟踪的检测和防御》,《第九届USENIX网络系统设计与实施研讨会论文集》,NSDI?12,(2012)
[51] 拉索,A。;Sabelfeld,A.,《动态与静态流量敏感安全分析》,《第23届计算机安全基础研讨会论文集》,CSF?10,(2010),IEEE计算机协会出版社,华盛顿特区,186-199
[52] 拉索,A。;萨伯菲尔德,A。;Chudnov,A.,动态树结构中的信息流跟踪,(第14届欧洲计算机安全研究研讨会论文集,(2009年),Springer Verlag),86-103
[53] 萨伯菲尔德,A。;迈尔斯,A。C、 《基于语言的信息流安全》,IEEE通讯选择领域杂志,21,5-19,(2003)
[54] 萨伯菲尔德,A。;Russo,A.,《从动态到静态和倒退:乘坐信息流控制研究的过山车》,(第七届国际安德烈·埃尔索夫系统信息学观点纪念会议论文集》,PSI?09,(2009),柏林,海德堡,斯普林格,352-365
[55] 施耐德,F.,可执行的安全政策,ACM信息和系统安全交易,3,30-50,(2000)
[56] 辛格,K。;Moshchuk,A。;王,H。J、 。;Lee,W.,《web浏览器访问控制策略中的不一致性》,《2010年IEEE安全与隐私研讨会论文集》(2010年),IEEE计算机协会出版社,463-478
[57] 塔利,A。;美国二林森市。;米切尔,J。C、 。;米勒,M。S、 。;Nagra,J.,《安全关键javascript API的自动分析》,(2011年IEEE安全和隐私研讨会论文集,(2011年),IEEE计算机协会出版社),363-378
[58] 唐,S。;多滕纳恩,N。;国王,S。T、 ,自动增强基于web的应用程序(第18届ACM通信和计算机安全会议论文集,CCS?11,(2011),ACM出版社),615-626
[59] 泰罗,M。;加内什,K。;Venkatakrishnan,V.,Adjail:网络广告保密性和完整性政策的实际执行(第19届USENIX安全研讨会论文集,USENIX安全第10期,(2010年),USENIX协会),371-388
[60] 范阿克,S。;德莱克,P。;德米特,L。;皮尔森,F。;Joosen,W.,Webjail:web Mashup中第三方组件的最小特权集成,(第27届计算机安全应用年会论文集,(2011年),ACM纽约),307-316
[61] 沃格特,P。;恩特威奇,F。;北约万诺维奇。;基尔达,E。;克鲁格,C。;Vigna,G.,动态数据污染和静态分析的跨站点脚本预防(网络和分布式系统安全研讨会论文集,NDSS?07,(2007),互联网协会)
[62] 沃帕诺,D。;史密斯,G。;Irvine,C.,用于安全流分析的声音类型系统,计算机安全杂志,4167-187,(1996)
[63] W3C,Xmlhttprequest level 2,于2012年2月20日访问
[64] W3C,html和xhtml的词汇表和相关API(2012年3月29日),(在线)
〔65〕 W3C,《地理定位API规范》(2012年5月),可在
[66] W3C,索引数据库API,(2012年5月24日),W3C工作草案
[67] W3C,内容安全策略1.1(2012年8月2日),W3C编辑草稿(在线)
[68] 惠利,J。;阿沃茨,D。;卡宾,M。;林,M。S、 ,使用带有二进制决策图的数据日志进行程序分析,(亚洲编程语言与系统研讨会,APLAS®05,(2005),Springer Verlag),97-118·Zbl 1159.68386
〔69〕 WHATWG,HTML living standard,web存储,最后更新时间:2012年6月29日
[70] Wilxsander?解决方案,2012年
[71] 余,D。;钱德尔,A。;伊斯兰教,北。;Serikov,I.,用于浏览器安全的Javascript工具(第34届ACM SIGPLAN-SIGACT编程语言原理研讨会论文集),ACM出版社,237-249·Zbl 1295.68056
[72] Zalewski,M.,浏览器安全手册,第1-3部分,(2011年),(在线)
[73] Zalewski,M.,《纠结的网络:现代网络应用安全指南》(2011)
[74] 张国荣,等.鲁棒解密的一种类型系统,第十九届计算机科学学报,2003,理论计算机科学电子笔记,第83期,(2003)·兹布1337.68078
此参考列表基于出版商或数字数学图书馆提供的信息。它的项被试探性地匹配到zbMATH标识符,并且可能包含数据转换错误。它试图尽可能准确地反映原始论文中列出的参考文献,而不要求匹配的完整性或精确性。