論文の概要: Towards Browser Controls to Protect Cookies from Malicious Extensions

• arxiv url: http://arxiv.org/abs/2405.06830v3
• Date: Mon, 21 Jul 2025 10:21:42 GMT
• ステータス: 翻訳完了
• システム内更新日: 2025-07-22 20:51:31.642832
• Title: Towards Browser Controls to Protect Cookies from Malicious Extensions
• Title（参考訳）: 悪質な拡張からクッキーを守るブラウザ制御に向けて
• Authors: Liam Tyler, Ivan De Oliveira Nunes,
• Abstract要約: クッキーは、ユーザのセッションIDを格納し、その後のトラフィックで認証情報を再入力する必要性を置き換えることで、認証に一般的に使用される。 いわゆる「セッションクッキー」は、ユーザーアカウントへの不正アクセスを盗もうとする攻撃の主要なターゲットである。 これらの攻撃を軽減するため、Secure andOnly cookie属性は、悪意のあるネットワークやウェブサイトからのクッキーのアクセシビリティを制限する。
• 参考スコア（独自算出の注目度）: 5.445001663133085
• License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
• Abstract: Cookies maintain state across related web traffic. As such, cookies are commonly used for authentication by storing a user's session ID and replacing the need to re-enter credentials in subsequent traffic. These so-called ``session cookies'' are prime targets for attacks that aim to steal them to gain unauthorized access to user accounts. To mitigate these attacks, the Secure and HttpOnly cookie attributes limit a cookie's accessibility from malicious networks and websites. However, these controls overlook browser extensions: third-party HTML/JavaScript add-ons with access to privileged browser APIs and the ability to operate across multiple websites. Thus malicious or compromised extensions can provide unrestricted access to a user's session cookies. In this work, we first analyze the prevalence of extensions with access to ``risky'' APIs (those that enable cookie modification and theft) and find that they have hundreds of millions of users. Motivated by this, we propose a mechanism to protect cookies from malicious extensions by introducing two new cookie attributes: BrowserOnly and Monitored. The BrowserOnly attribute prevents extension access to cookies altogether. While effective, not all cookies can be made inaccessible. Thus cookies with the Monitored attribute remain accessible but are tied to a single browser and any changes made to the cookie are logged. As a result, stolen Monitored cookies are unusable outside their original browser and servers can validate the modifications performed. To demonstrate the proposed functionalities, we design and implement CREAM (Cookie Restrictions for Extension Abuse Mitigation) a modified version of the open-source Chromium browser realizing these controls. Our evaluation indicates that CREAM effectively protects cookies from malicious extensions while incurring little run-time overheads.
• Abstract（参考訳）: クッキーは関連するWebトラフィックにわたって状態を維持します。 このように、クッキーは、ユーザのセッションIDを格納し、その後のトラフィックで認証情報を再入力する必要性を置き換えることで、認証に一般的に使用される。 これらのいわゆる‘session cookie’は、ユーザアカウントへの不正アクセスを盗もうとする攻撃の主ターゲットだ。 これらの攻撃を軽減するため、SecureとHttpOnly cookie属性は、悪意のあるネットワークやウェブサイトからのクッキーのアクセシビリティを制限する。 しかし、これらのコントロールはブラウザ拡張機能を見落としている。特権のあるブラウザAPIにアクセスするサードパーティのHTML/JavaScriptアドオンと、複数のWebサイトをまたがる操作機能である。 これにより、悪意のある拡張や妥協された拡張は、ユーザのセッションクッキーへの無制限アクセスを提供することができる。 本研究ではまず,'risky'のAPI(クッキーの修正や盗難を可能にするもの)にアクセスして,数億のユーザがいることを示す。 そこで我々は,BrowserOnlyとMonitoredという2つの新しいクッキー属性を導入することによって,悪意のあるエクステンションからクッキーを保護する機構を提案する。 BrowserOnly属性はクッキーへの拡張アクセスを完全に防ぐ。 有効ではあるが、すべてのクッキーがアクセスできないわけではない。 したがって、Monitored属性を持つクッキーは引き続きアクセス可能であるが、単一のブラウザに結び付けられ、クッキーに対する変更はすべてログされる。 その結果、盗まれたMonitored cookieは元のブラウザの外では使用できないようになり、サーバは実行された変更を検証することができる。 提案機能を示すため,これらの制御を実現するオープンソースChromiumブラウザの修正版であるCREAM(Cookie Restrictions for Extension Abuse Mitigation)を設計,実装した。 本評価は,Cookieを悪質な拡張から効果的に保護すると同時に,実行時のオーバーヘッドが少ないことを示唆している。

関連論文リスト

• Defending Against Prompt Injection With a Few DefensiveTokens [53.7493897456957]
  大規模言語モデル(LLM)システムは複雑なタスクを実行するために外部データと相互作用する。 システムによってアクセスされたデータに命令を注入することにより、攻撃者は攻撃者が指示する任意のタスクで初期ユーザタスクをオーバーライドすることができる。 システム開発者がフレキシブルな方法で必要な場合にのみセキュリティを確保するためには、例えば防御プロンプトのようなテストタイムディフェンスが提案されている。 トレーニング時の代替に匹敵するプロンプトインジェクションを備えたテストタイムディフェンスであるDefensiveTokenを提案する。
  論文  参考訳（メタデータ） (2025-07-10T17:51:05Z)
• Navigating Cookie Consent Violations Across the Globe [20.150326701271364]
  本研究では,クッキーバナーの動作を検出し解析するConsentChkというエンドツーエンドシステムを提案する。 世界中の8つの英語圏を調査し,世界中の1,793のウェブサイトでクッキーバナーの挙動を分析した。 我々の評価によると、同意管理プラットフォーム(CMP)とWebサイト開発者は、地域プライバシー法の解釈に基づいてクッキーバナーの設定をカスタマイズする可能性が高い。
  論文  参考訳（メタデータ） (2025-06-10T17:15:12Z)
• VPI-Bench: Visual Prompt Injection Attacks for Computer-Use Agents [74.6761188527948]
  完全なシステムアクセスを持つコンピュータ利用エージェント(CUA)は、セキュリティとプライバシの重大なリスクを負う。 我々は、悪意のある命令がレンダリングされたユーザーインターフェイスに視覚的に埋め込まれた視覚的プロンプトインジェクション(VPI)攻撃について検討する。 実験により,現在のCUAとBUAは,それぞれのプラットフォーム上で最大51%,100%の速度で騙すことができることがわかった。
  論文  参考訳（メタデータ） (2025-06-03T05:21:50Z)
• User Profiles: The Achilles' Heel of Web Browsers [12.5263811476743]
  Tor Browserを除いて、現代のすべてのブラウザは、機密データをほとんど、あるいは全く、完全性や機密性を管理することなく、ホームディレクトリに格納している。 パスワードやクッキーの暗号化といったセキュリティ対策は、簡単にバイパスできることを示す。 HTTPSは、カスタムの潜在的に悪意のあるルート証明書をデプロイすることで、完全にバイパスすることができる。
  論文  参考訳（メタデータ） (2025-04-24T16:01:48Z)
• Auditing Prompt Caching in Language Model APIs [77.02079451561718]
  大規模言語モデル(LLM)における即時キャッシュによるプライバシリークについて検討する。 OpenAIを含む7つのAPIプロバイダのユーザ間でのグローバルキャッシュ共有を検出します。 OpenAIの埋め込みモデルがデコーダのみのトランスフォーマーであることの証拠が見つかりました。
  論文  参考訳（メタデータ） (2025-02-11T18:58:04Z)
• Least Privilege Access for Persistent Storage Mechanisms in Web Browsers [1.7995136786901533]
  サードパーティスクリプトは、クッキーやローカルストレージ、IndexedDBといった永続的なストレージに格納されているユーザのプライベートデータに、無制限にアクセスできる。 永続記憶オブジェクトのきめ細かい制御を強制する機構を提案する。
  論文  参考訳（メタデータ） (2024-11-23T02:25:43Z)
• Fingerprinting and Tracing Shadows: The Development and Impact of Browser Fingerprinting on Digital Privacy [55.2480439325792]
  ブラウザのフィンガープリントは、クッキーのような従来の方法なしでオンラインでユーザーを特定し、追跡するテクニックとして成長している。 本稿では, 各種指紋認証技術について概説し, 収集データのエントロピーと特異性を解析する。
  論文  参考訳（メタデータ） (2024-11-18T20:32:31Z)
• Browsing without Third-Party Cookies: What Do You See? [5.181502547611254]
  サードパーティのWebクッキーは、プライバシーを侵害する行動追跡によく使用される。 サードパーティのクッキーレスブラウジングの効果を理解するために、私たちはTrancoのトップ1万のウェブサイトをクロールして測定しました。 我々は,サードパーティ製クッキーを除去するフレームワークを開発し,これらのクッキーを使用せずにWebページの外観の違いを分析する。
  論文  参考訳（メタデータ） (2024-10-14T17:47:43Z)
• SecAlign: Defending Against Prompt Injection with Preference Optimization [52.48001255555192]
  アドリアルプロンプトは外部データソースに注入され、システムの意図した命令をオーバーライドし、悪意のある命令を実行する。 我々は、好みの最適化技術に基づくSecAlignと呼ばれる新しいディフェンスを提案する。 本手法は,訓練中に見られたものよりもはるかに高度な攻撃に対しても,様々なプロンプトインジェクションの成功率を約0%に低下させる。
  論文  参考訳（メタデータ） (2024-10-07T19:34:35Z)
• MASKDROID: Robust Android Malware Detection with Masked Graph Representations [56.09270390096083]
  マルウェアを識別する強力な識別能力を持つ強力な検出器MASKDROIDを提案する。 我々は、グラフニューラルネットワークベースのフレームワークにマスキング機構を導入し、MASKDROIDに入力グラフ全体の復元を強制する。 この戦略により、モデルは悪意のあるセマンティクスを理解し、より安定した表現を学習し、敵攻撃に対する堅牢性を高めることができる。
  論文  参考訳（メタデータ） (2024-09-29T07:22:47Z)
• Dissecting Adversarial Robustness of Multimodal LM Agents [70.2077308846307]
  我々は、VisualWebArena上に現実的な脅威モデルを用いて、200の敵タスクと評価スクリプトを手動で作成する。 我々は,クロボックスフロンティアLMを用いた最新のエージェントを,リフレクションやツリーサーチを行うエージェントを含む,壊すことに成功している。 AREを使用して、新しいコンポーネントの追加に伴うロバスト性の変化を厳格に評価しています。
  論文  参考訳（メタデータ） (2024-06-18T17:32:48Z)
• COOKIEGUARD: Characterizing and Isolating the First-Party Cookie Jar [14.314375420700504]
  サードパーティスクリプトは、ウェブサイトのメインフレームに含まれているため、ブラウザのクッキーjarにサードパーティのクッキーを書き込み(またはtextitghost-write)する。 サードパーティ製スクリプトは、実際のサードパーティ製クッキーや、別のサードパーティ製スクリプトによるゴースト書きのサードパーティ製クッキーなど、すべてのサードパーティ製クッキーにアクセスすることができる。 メインフレームに異なるサードパーティスクリプトが設定した第1のクッキーを分離する名称を提案する。
  論文  参考訳（メタデータ） (2024-06-08T01:02:49Z)
• FV8: A Forced Execution JavaScript Engine for Detecting Evasive Techniques [53.288368877654705]
  FV8はJavaScriptコードの回避テクニックを特定するために設計された修正V8 JavaScriptエンジンである。 動的コードを条件付きで注入するAPI上でのコード実行を選択的に実施する。 1,443のnpmパッケージと、少なくとも1つのタイプのエスケープを含む164の(82%)拡張を識別する。
  論文  参考訳（メタデータ） (2024-05-21T19:54:19Z)
• A first look into Utiq: Next-generation cookies at the ISP level [3.434440572295625]
  サードパーティ製のクッキーは長年にわたって広く使われてきたが、ユーザーのプライバシーに影響を及ぼす可能性があると批判されている。 多くのブラウザでは、ユーザーがサードパーティーのクッキーをブロックできるため、広告主にとっての有用性が制限される。 UtiqはISPが直接行う新しいユーザー追跡方式で、サードパーティ製のクッキーを置き換える。
  論文  参考訳（メタデータ） (2024-05-15T09:23:59Z)
• Evil from Within: Machine Learning Backdoors through Hardware Trojans [72.99519529521919]
  バックドアは、自動運転車のようなセキュリティクリティカルなシステムの整合性を損なう可能性があるため、機械学習に深刻な脅威をもたらす。 私たちは、機械学習のための一般的なハードウェアアクセラレーターに完全に存在するバックドアアタックを導入します。 我々は,Xilinx Vitis AI DPUにハードウェアトロイの木馬を埋め込むことにより,攻撃の実現可能性を示す。
  論文  参考訳（メタデータ） (2023-04-17T16:24:48Z)
• BackdoorBox: A Python Toolbox for Backdoor Learning [67.53987387581222]
  このPythonツールボックスは、代表的で高度なバックドア攻撃と防御を実装している。 研究者や開発者は、ベンチマークやローカルデータセットで、さまざまなメソッドを簡単に実装し、比較することができる。
  論文  参考訳（メタデータ） (2023-02-01T09:45:42Z)
• User Tracking in the Post-cookie Era: How Websites Bypass GDPR Consent to Track Users [3.936965297430477]
  本研究では,クッキーを欲しがらないというユーザを追跡するために,Webサイトが永続的かつ洗練されたトラッキング形式を使用しているかを検討する。 以上の結果から,ユーザがクッキーを登録する以前にも,Webサイトはこのような現代的なトラッキング方式を使用していることが示唆された。 結果として、ユーザーの選択はトラッキングに関してほとんど役に立たない。
  論文  参考訳（メタデータ） (2021-02-17T14:11:10Z)
• Adversarial EXEmples: A Survey and Experimental Evaluation of Practical Attacks on Machine Learning for Windows Malware Detection [67.53296659361598]
  EXEmplesは、比較的少ない入力バイトを摂動することで、機械学習に基づく検出をバイパスすることができる。 我々は、機械学習モデルに対する過去の攻撃を包含し、一般化するだけでなく、3つの新たな攻撃を含む統一フレームワークを開発する。 これらの攻撃はFull DOS、Extended、Shiftと呼ばれ、DOSヘッダをそれぞれ操作し、拡張し、第1セクションの内容を変更することで、敵のペイロードを注入する。
  論文  参考訳（メタデータ） (2020-08-17T07:16:57Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。