論文の概要: Towards Browser Controls to Protect Cookies from Malicious Extensions

• arxiv url: http://arxiv.org/abs/2405.06830v1
• Date: Fri, 10 May 2024 22:04:56 GMT
• ステータス: 処理完了
• システム内更新日: 2024-05-14 19:55:18.172393
• Title: Towards Browser Controls to Protect Cookies from Malicious Extensions
• Title（参考訳）: 悪質な拡張からクッキーを守るブラウザ制御に向けて
• Authors: Liam Tyler, Ivan De Oliveira Nunes,
• Abstract要約: クッキーは、それらを盗み、ユーザーアカウントに不正アクセスしようとする攻撃の貴重な標的だ。 拡張は、複数の特権APIにアクセスするサードパーティのHTML/JavaScriptアドオンであり、一度に複数のWebサイトで実行できる。 悪質なエクステンションからクッキーを保護する2つの新しいクッキー属性に基づいたブラウザ制御を提案する。
• 参考スコア（独自算出の注目度）: 5.445001663133085
• License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
• Abstract: Cookies provide a state management mechanism for the web and are often used for authentication, storing a user's session ID, and replacing their credentials in subsequent requests. These ``session cookies'' are valuable targets of attacks such as Session Hijacking and Fixation that attempt to steal them and gain unauthorized access to user accounts. Multiple controls such as the Secure and HttpOnly cookie attributes restrict cookie accessibility, effectively mitigating attacks from the network or malicious websites, but often ignoring untrusted extensions within the user's browser. Extensions are third-party HTML/JavaScript add-ons with access to several privileged APIs and can run on multiple websites at once. Unfortunately, this can provide malicious/compromised extensions with unrestricted access to session cookies. In this work, we first conduct a study assessing the prevalence of extensions with these ``risky'' APIs (i.e., those enabling cookie modification and theft) and find that they are currently used by hundreds of millions of users. Motivated by this, we propose browser controls based on two new cookie attributes that protect cookies from malicious extensions: BrowserOnly and Tracked. The BrowserOnly attribute prevents accessing cookies from extensions altogether. While effective, not all cookies can be inaccessible. Cookies with the Tracked attribute remain accessible, are tied to a single browser, and record any modifications made by extensions. Thus, stolen Tracked cookies become unusable outside their original browser and servers can verify any modifications. To demonstrate these features' practicality, we implement CREAM (Cookie Restrictions for Extension Abuse Mitigation): a modified version of Chromium realizing these controls. Our evaluation indicates that CREAM controls effectively protect cookies from malicious extensions while incurring small run-time overheads.
• Abstract（参考訳）: クッキーは、Webのステート管理メカニズムを提供し、認証、ユーザのセッションIDの保存、その後の要求での資格情報の交換によく使用される。 これらの‘セッションクッキー’は、Session HijackingやFixationのような、ユーザアカウントへの不正アクセスを盗もうとする攻撃の貴重なターゲットである。 SecureやHttpOnly cookieなどの複数のコントロールはクッキーアクセシビリティを制限し、ネットワークや悪意のあるWebサイトからの攻撃を効果的に緩和する。 拡張は、複数の特権APIにアクセスするサードパーティのHTML/JavaScriptアドオンであり、一度に複数のWebサイトで実行できる。 残念ながら、これはセッションクッキーへのアクセスを制限しない悪意のある/コンパイルされた拡張を提供することができる。 本研究ではまず,これらの'risky' API(クッキーの修正や盗難を可能にするもの)を用いて,拡張の頻度を評価する研究を行い,現在数億のユーザが使用していることを確認する。 そこで我々は,悪質なエクステンションからクッキーを保護する2つの新しいクッキー属性(BrowserOnlyとTracked)に基づいたブラウザ制御を提案する。 BrowserOnly属性は、クッキーへのアクセスを完全に拡張から防ぐ。 有効ではあるが、すべてのクッキーがアクセスできないわけではない。 Tracked属性を持つクッキーは引き続きアクセス可能であり、単一のブラウザに結び付けられ、拡張によって行われた変更を記録する。 これにより、盗まれた追跡クッキーは元のブラウザ以外では使用不能になり、サーバは変更を検証できる。 これらの機能の実用性を実証するために、CREAM (Cookie Restrictions for Extension Abuse Mitigation): これらのコントロールを実現するChromiumの修正版を実装した。 本評価は,Cookieを悪質な拡張から効果的に保護し,実行時のオーバーヘッドを小さく抑えていることを示す。

関連論文リスト

• Least Privilege Access for Persistent Storage Mechanisms in Web Browsers [1.7995136786901533]
  サードパーティスクリプトは、クッキーやローカルストレージ、IndexedDBといった永続的なストレージに格納されているユーザのプライベートデータに、無制限にアクセスできる。 永続記憶オブジェクトのきめ細かい制御を強制する機構を提案する。
  論文  参考訳（メタデータ） (2024-11-23T02:25:43Z)
• Fingerprinting and Tracing Shadows: The Development and Impact of Browser Fingerprinting on Digital Privacy [55.2480439325792]
  ブラウザのフィンガープリントは、クッキーのような従来の方法なしでオンラインでユーザーを特定し、追跡するテクニックとして成長している。 本稿では, 各種指紋認証技術について概説し, 収集データのエントロピーと特異性を解析する。
  論文  参考訳（メタデータ） (2024-11-18T20:32:31Z)
• Browsing without Third-Party Cookies: What Do You See? [5.181502547611254]
  サードパーティのWebクッキーは、プライバシーを侵害する行動追跡によく使用される。 サードパーティのクッキーレスブラウジングの効果を理解するために、私たちはTrancoのトップ1万のウェブサイトをクロールして測定しました。 我々は,サードパーティ製クッキーを除去するフレームワークを開発し,これらのクッキーを使用せずにWebページの外観の違いを分析する。
  論文  参考訳（メタデータ） (2024-10-14T17:47:43Z)
• MASKDROID: Robust Android Malware Detection with Masked Graph Representations [56.09270390096083]
  マルウェアを識別する強力な識別能力を持つ強力な検出器MASKDROIDを提案する。 我々は、グラフニューラルネットワークベースのフレームワークにマスキング機構を導入し、MASKDROIDに入力グラフ全体の復元を強制する。 この戦略により、モデルは悪意のあるセマンティクスを理解し、より安定した表現を学習し、敵攻撃に対する堅牢性を高めることができる。
  論文  参考訳（メタデータ） (2024-09-29T07:22:47Z)
• COOKIEGUARD: Characterizing and Isolating the First-Party Cookie Jar [14.314375420700504]
  サードパーティスクリプトは、ウェブサイトのメインフレームに含まれているため、ブラウザのクッキーjarにサードパーティのクッキーを書き込み(またはtextitghost-write)する。 サードパーティ製スクリプトは、実際のサードパーティ製クッキーや、別のサードパーティ製スクリプトによるゴースト書きのサードパーティ製クッキーなど、すべてのサードパーティ製クッキーにアクセスすることができる。 メインフレームに異なるサードパーティスクリプトが設定した第1のクッキーを分離する名称を提案する。
  論文  参考訳（メタデータ） (2024-06-08T01:02:49Z)
• FV8: A Forced Execution JavaScript Engine for Detecting Evasive Techniques [53.288368877654705]
  FV8はJavaScriptコードの回避テクニックを特定するために設計された修正V8 JavaScriptエンジンである。 動的コードを条件付きで注入するAPI上でのコード実行を選択的に実施する。 1,443のnpmパッケージと、少なくとも1つのタイプのエスケープを含む164の(82%)拡張を識別する。
  論文  参考訳（メタデータ） (2024-05-21T19:54:19Z)
• A first look into Utiq: Next-generation cookies at the ISP level [3.434440572295625]
  サードパーティ製のクッキーは長年にわたって広く使われてきたが、ユーザーのプライバシーに影響を及ぼす可能性があると批判されている。 多くのブラウザでは、ユーザーがサードパーティーのクッキーをブロックできるため、広告主にとっての有用性が制限される。 UtiqはISPが直接行う新しいユーザー追跡方式で、サードパーティ製のクッキーを置き換える。
  論文  参考訳（メタデータ） (2024-05-15T09:23:59Z)
• Evil from Within: Machine Learning Backdoors through Hardware Trojans [72.99519529521919]
  バックドアは、自動運転車のようなセキュリティクリティカルなシステムの整合性を損なう可能性があるため、機械学習に深刻な脅威をもたらす。 私たちは、機械学習のための一般的なハードウェアアクセラレーターに完全に存在するバックドアアタックを導入します。 我々は,Xilinx Vitis AI DPUにハードウェアトロイの木馬を埋め込むことにより,攻撃の実現可能性を示す。
  論文  参考訳（メタデータ） (2023-04-17T16:24:48Z)
• BackdoorBox: A Python Toolbox for Backdoor Learning [67.53987387581222]
  このPythonツールボックスは、代表的で高度なバックドア攻撃と防御を実装している。 研究者や開発者は、ベンチマークやローカルデータセットで、さまざまなメソッドを簡単に実装し、比較することができる。
  論文  参考訳（メタデータ） (2023-02-01T09:45:42Z)
• User Tracking in the Post-cookie Era: How Websites Bypass GDPR Consent to Track Users [3.936965297430477]
  本研究では,クッキーを欲しがらないというユーザを追跡するために,Webサイトが永続的かつ洗練されたトラッキング形式を使用しているかを検討する。 以上の結果から,ユーザがクッキーを登録する以前にも,Webサイトはこのような現代的なトラッキング方式を使用していることが示唆された。 結果として、ユーザーの選択はトラッキングに関してほとんど役に立たない。
  論文  参考訳（メタデータ） (2021-02-17T14:11:10Z)
• Adversarial EXEmples: A Survey and Experimental Evaluation of Practical Attacks on Machine Learning for Windows Malware Detection [67.53296659361598]
  EXEmplesは、比較的少ない入力バイトを摂動することで、機械学習に基づく検出をバイパスすることができる。 我々は、機械学習モデルに対する過去の攻撃を包含し、一般化するだけでなく、3つの新たな攻撃を含む統一フレームワークを開発する。 これらの攻撃はFull DOS、Extended、Shiftと呼ばれ、DOSヘッダをそれぞれ操作し、拡張し、第1セクションの内容を変更することで、敵のペイロードを注入する。
  論文  参考訳（メタデータ） (2020-08-17T07:16:57Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。