Onderzoekers voorzien Chrome en Firefox van extra security

[Captain Kirk]

Onderzoekers hebben een nieuw beveiligingssysteem voor Mozilla Firefox en Google Chrome ontwikkeld dat de privacy van gebruikers moet beschermen en tegelijkertijd webontwikkelaars meer mogelijkheden geeft. Het systeem heet COWL, wat staat voor Confinement with Origin Web Labels en bepaalt hoe data worden gedeeld. Zo moet het voorkomen dat kwaadaardige of schadelijke code gevoelige informatie lekt, terwijl webapplicaties content van meerdere bronnen kunnen weergeven.

De wetenschappers van de Universiteit van Stanford hebben COWL ontwikkeld als antwoord op een online trend waarbij webontwikkelaars code gebruiken die ze niet zelf hebben geschreven. "Het hergebruik van bestaande code is een reden waarom het web zo succesvol is. Helaas is het gebruik van door derden ontwikkelde code ook een beveiligings- en privacyrisico. Tenzij je de omvang van Google hebt is het onmogelijk om alles te herschrijven om dit risico weg te nemen", zegt wetenschapper Deian Stefan.

Tenminste 77% van de 10.000 best bezochte websites op internet gebruiken code die door andere ontwikkelaars zijn gemaakt. Dit houdt in dat schadelijke code in de browser terecht kan komen. COWL voegt een beveiligingslaag toe om te voorkomen dat schadelijke code privégegevens kan lekken. Daarbij richt het zich vooral op gegevens die door JavaScript worden verwerkt.

MAC

Het idee voor COWL is gebaseerd op mandatory access control (MAC), een idee dat als sinds de jaren 1970 bestaat. Op oude militaire mainframes zorgt MAC ervoor dat gebruikers die geheime bestanden mochten lezen geen bestanden met een lagere bevoegdheid konden wijzigen. Dit moest voorkomen dat gevoelige informatie al dan niet bewust werd verspreid. De wetenschappers hebben MAC nu aan Firefox en Chrome toegevoegd en ontwikkelaars een manier geboden om het nieuwe beveiligingssysteem aan hun JavaScriptcode toe te voegen.

De truc hierbij was ervoor te zorgen dat JavaScriptcode geen data met websites deelde waar dit niet de bedoeling was. De oplossing werd gevonden in het gebruik van "data-labels", waarmee ontwikkelaars kunnen aangeven welke websites de data kunnen lezen en gebruiken. De labels volgen de data, zelfs als die wordt gedeeld, en COWL zorgt ervoor dat geen enkele code de labels negeert.

Volgende stap

De volgende stap voor de onderzoekers is ervoor te zorgen dat COWL een standaard wordt, wat mogelijk een jaar kan duren. De hoop is om deze maand een eerste publieke "draft" klaar te hebben, zodat het World Wide Web Consortium (W3C) ernaar kan kijken. "We kunnen onze twee aangepaste browsers uitbrengen, maar dat zou de wereld niet veranderen", zegt wetenschapper David Mazieres. Op de website van de wetenschappers is alvast een aangepaste Firefox-versie met COWL te downloaden. Deze versie is echter alleen beschikbaar voor Linux en Mac OS X.

 

bron: security.nl