論文の概要: Unbundle-Rewrite-Rebundle: Runtime Detection and Rewriting of Privacy-Harming Code in JavaScript Bundles
- arxiv url: http://arxiv.org/abs/2405.00596v2
- Date: Tue, 7 May 2024 15:38:20 GMT
- ステータス: 処理完了
- システム内更新日: 2024-05-08 18:43:54.916450
- Title: Unbundle-Rewrite-Rebundle: Runtime Detection and Rewriting of Privacy-Harming Code in JavaScript Bundles
- Title(参考訳): Unbundle-Rewrite-Rebundle: JavaScriptバンドルにおけるプライバシハーミングコードの実行時検出と書き換え
- Authors: Mir Masood Ali, Peter Snyder, Chris Kanich, Hamed Haddadi,
- Abstract要約: Unbundle-Rewrite-Rebundle (URR)は、バンドルされたJavaScriptコードのプライバシー保護部分を検出するシステムである。
URRはそのコードを実行時に書き直して、周囲のコードやアプリケーション全体を壊さずに、プライバシーを害する振る舞いを取り除く。
- 参考スコア(独自算出の注目度): 11.832746335723437
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: This work presents Unbundle-Rewrite-Rebundle (URR), a system for detecting privacy-harming portions of bundled JavaScript code, and rewriting that code at runtime to remove the privacy harming behavior without breaking the surrounding code or overall application. URR is a novel solution to the problem of JavaScript bundles, where websites pre-compile multiple code units into a single file, making it impossible for content filters and ad-blockers to differentiate between desired and unwanted resources. Where traditional content filtering tools rely on URLs, URR analyzes the code at the AST level, and replaces harmful AST sub-trees with privacy-and-functionality maintaining alternatives. We present an open-sourced implementation of URR as a Firefox extension, and evaluate it against JavaScript bundles generated by the most popular bundling system (Webpack) deployed on the Tranco 10k. We measure the performance, measured by precision (1.00), recall (0.95), and speed (0.43s per-script) when detecting and rewriting three representative privacy harming libraries often included in JavaScript bundles, and find URR to be an effective approach to a large-and-growing blind spot unaddressed by current privacy tools.
- Abstract(参考訳): 本研究では,バンドルされたJavaScriptコードのプライバシ保護部分を検出するシステムであるUnbundle-Rewrite-Rebundle(URR)について紹介する。
URRはJavaScriptバンドルの問題に対する新しい解決策であり、Webサイトは複数のコードユニットを単一のファイルにプリコンパイルする。
従来のコンテンツフィルタリングツールがURLに依存している場合、URRはASTレベルでコードを解析し、有害なASTサブツリーをプライバシと機能的な代替品に置き換える。
本稿では,Firefox エクステンションとして URR をオープンソースとして実装し,Tranco 10k 上にデプロイされた最も一般的なバンドルシステム (Webpack) によって生成された JavaScript バンドルに対して評価する。
JavaScriptバンドルに含まれる3つの代表的なプライバシ障害ライブラリを検出して書き直す際に、精度(1.00)、リコール(0.95)、スピード(0.43s per-script)で測定されたパフォーマンスを測定し、現在のプライバシツールに従わない大規模で成長中のブラインドスポットに対する効果的なアプローチとして、IRRを見出した。
関連論文リスト
- GHunter: Universal Prototype Pollution Gadgets in JavaScript Runtimes [5.852467142337343]
プロトタイプ汚染は、JavaScriptコードに影響を与える最近の脆弱性である。
これはJavaScriptのプロトタイプベースの継承をルーツとしており、攻撃者は実行時にオブジェクトのプロトタイプに任意のプロパティを注入することができる。
V8ベースのJavaScriptランタイムにおけるガジェットの研究は、Node.jsとDenoに重点を置いている。
論文 参考訳(メタデータ) (2024-07-15T15:30:00Z) - Blocking Tracking JavaScript at the Function Granularity [15.86649576818013]
Not.jsは、関数レベルの粒度で動作する、きめ細かいJavaScriptブロッキングツールである。
Not.jsは、Webページのグラフ表現で教師付き機械学習分類器をトレーニングし、まずJavaScript関数レベルでトラッキングを検出する。
Not.jsは、トラッキングを削除しながら機能を保存するサロゲートスクリプトを自動的に生成する。
論文 参考訳(メタデータ) (2024-05-28T17:26:57Z) - FV8: A Forced Execution JavaScript Engine for Detecting Evasive Techniques [53.288368877654705]
FV8はJavaScriptコードの回避テクニックを特定するために設計された修正V8 JavaScriptエンジンである。
動的コードを条件付きで注入するAPI上でのコード実行を選択的に実施する。
1,443のnpmパッケージと、少なくとも1つのタイプのエスケープを含む164の(82%)拡張を識別する。
論文 参考訳(メタデータ) (2024-05-21T19:54:19Z) - The Good and The Bad: Exploring Privacy Issues in Retrieval-Augmented
Generation (RAG) [56.67603627046346]
Retrieval-augmented Generation (RAG)は、プロプライエタリおよびプライベートデータによる言語モデルを容易にする強力な技術である。
本研究では,プライベート検索データベースの漏洩に対するRAGシステムの脆弱性を実証する,新たな攻撃手法による実証的研究を行う。
論文 参考訳(メタデータ) (2024-02-23T18:35:15Z) - Code-Based Single-Server Private Information Retrieval: Circumventing the Sub-Query Attack [9.054540533394928]
Holzbaur、Hollanti、Wachter-Zehによって提案された最初のコードベースのシングルサーバ計算PIRスキームの修正版。
複数のファイルを取得する場合、修正されたスキームのレートは、ほとんど影響を受けず、元のスキームと同等である。
論文 参考訳(メタデータ) (2024-02-05T10:37:26Z) - Zero-Shot Detection of Machine-Generated Codes [83.0342513054389]
本研究は,LLMの生成したコードを検出するためのトレーニング不要な手法を提案する。
既存のトレーニングベースまたはゼロショットテキスト検出装置は、コード検出に効果がないことがわかった。
本手法は,リビジョン攻撃に対する堅牢性を示し,Javaコードによく適応する。
論文 参考訳(メタデータ) (2023-10-08T10:08:21Z) - JavaScript Dead Code Identification, Elimination, and Empirical
Assessment [13.566269406958966]
Lacunaは、WebアプリからJavaScriptのデッドコードを自動的に検出し、削除するアプローチである。
我々は、モバイルWebアプリケーションのコンテキストにおいて、エネルギー消費、パフォーマンス、ネットワーク使用量、リソース使用量の観点から、JavaScriptデッドコードの実行時のオーバーヘッドを実証的に評価する実験を行う。
論文 参考訳(メタデータ) (2023-08-31T13:48:39Z) - ByzSecAgg: A Byzantine-Resistant Secure Aggregation Scheme for Federated
Learning Based on Coded Computing and Vector Commitment [90.60126724503662]
ByzSecAggは、フェデレートラーニングのための効率的なセキュアアグリゲーションスキームである。
ByzSecAggは、ビザンツの攻撃やプライバシーの漏洩から保護されている。
論文 参考訳(メタデータ) (2023-02-20T11:15:18Z) - SPAct: Self-supervised Privacy Preservation for Action Recognition [73.79886509500409]
アクション認識におけるプライバシー漏洩を緩和するための既存のアプローチは、ビデオデータセットのアクションラベルとともに、プライバシラベルを必要とする。
自己教師付き学習(SSL)の最近の進歩は、未ラベルデータの未発見の可能性を解き放ちつつある。
本稿では、プライバシーラベルを必要とせず、自己管理的な方法で、入力ビデオからプライバシー情報を除去する新しいトレーニングフレームワークを提案する。
論文 参考訳(メタデータ) (2022-03-29T02:56:40Z) - Contrastive Code Representation Learning [95.86686147053958]
一般的な再構成に基づくBERTモデルは,ソースコードの編集に敏感であることを示す。
コントラコード(ContraCode)は、コード機能を学ぶのにフォームではなく、コントラスト的な事前学習タスクである。
論文 参考訳(メタデータ) (2020-07-09T17:59:06Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。