論文の概要: The Emperor is Now Clothed: A Secure Governance Framework for Web User Authentication through Password Managers
- arxiv url: http://arxiv.org/abs/2407.07205v2
- Date: Fri, 12 Jul 2024 13:52:09 GMT
- ステータス: 処理完了
- システム内更新日: 2024-07-16 03:58:18.383815
- Title: The Emperor is Now Clothed: A Secure Governance Framework for Web User Authentication through Password Managers
- Title(参考訳): 天皇が服を着る:パスワードマネージャによるWebユーザ認証のためのセキュアなガバナンスフレームワーク
- Authors: Ali Cherry, Konstantinos Barmpis, Siamak F. Shahandashti,
- Abstract要約: パスワードマネージャとWebアプリケーション間のインタラクションを促進する既存のアプローチは、適切な機能を提供し、重要な攻撃に対する緩和戦略を提供していない。
本稿では,パスワードマネージャとWebアプリケーション間のインタラクションを仲介するブラウザベースのガバナンスフレームワークであるBerytusを提案する。
- 参考スコア(独自算出の注目度): 0.9599644507730105
- License: http://creativecommons.org/licenses/by-nc-sa/4.0/
- Abstract: Existing approaches to facilitate the interaction between password managers and web applications fall short of providing adequate functionality and mitigation strategies against prominent attacks. HTML Autofill is not sufficiently expressive, Credential Management API does not support browser extension password managers, and other proposed solutions do not conform to established user mental models. In this paper, we propose Berytus, a browser-based governance framework that mediates the interaction between password managers and web applications. Two APIs are designed to support Berytus acting as an orchestrator between password managers and web applications. An implementation of the framework in Firefox is developed that fully supports registration and authentication processes. As an orchestrator, Berytus is able to authenticate web applications and facilitate authenticated key exchange between web applications and password managers, which as we show, can provide effective mitigation strategies against phishing, cross-site scripting, inline code injection (e.g., by a malicious browser extension), and TLS proxy in the middle attacks, whereas existing mitigation strategies such as Content Security Policy and credential tokenisation are only partially effective. The framework design also provides desirable functional properties such as support for multi-step, multi-factor, and custom authentication schemes. We provide a comprehensive security and functionality evaluation and discuss possible future directions.
- Abstract(参考訳): パスワードマネージャとWebアプリケーション間のインタラクションを促進する既存のアプローチは、適切な機能を提供し、重要な攻撃に対する緩和戦略を提供していない。
HTML Autofillは十分な表現力がなく、Credential Management APIはブラウザ拡張パスワードマネージャをサポートしておらず、他の提案されたソリューションは確立したユーザメンタルモデルに準拠していない。
本稿では,パスワードマネージャとWebアプリケーション間のインタラクションを仲介するブラウザベースのガバナンスフレームワークであるBerytusを提案する。
2つのAPIは、パスワードマネージャとWebアプリケーションの間のオーケストレータとして機能するBerytusをサポートするように設計されている。
Firefoxにおけるフレームワークの実装は、登録および認証プロセスを完全にサポートする。
これは、フィッシング、クロスサイトスクリプティング、インラインコードインジェクション(例えば、悪意のあるブラウザ拡張による)、TLSプロキシに対する効果的な緩和戦略を提供するのに対して、コンテンツセキュリティポリシーやクレデンシャルトークン化のような既存の緩和戦略は部分的に有効である。
フレームワーク設計は、マルチステップ、マルチファクタ、カスタム認証スキームのサポートなど、望ましい機能も提供する。
包括的セキュリティと機能評価を提供し、将来的な方向性について議論する。
関連論文リスト
- Beyond Browsing: API-Based Web Agents [58.39129004543844]
APIベースのエージェントはWebArenaの実験でWebブラウジングエージェントを上回っている。
ハイブリッドエージェント(Hybrid Agents)は、タスク全体にわたって、ほぼ均一にパフォーマンスを向上する。
結果から,APIが利用可能であれば,Webブラウジングのみに依存するという,魅力的な代替手段が提示されることが強く示唆された。
論文 参考訳(メタデータ) (2024-10-21T19:46:06Z) - Internet of Agents: Weaving a Web of Heterogeneous Agents for Collaborative Intelligence [79.5316642687565]
既存のマルチエージェントフレームワークは、多種多様なサードパーティエージェントの統合に苦慮することが多い。
我々はこれらの制限に対処する新しいフレームワークであるInternet of Agents (IoA)を提案する。
IoAはエージェント統合プロトコル、インスタントメッセージのようなアーキテクチャ設計、エージェントのチーム化と会話フロー制御のための動的メカニズムを導入している。
論文 参考訳(メタデータ) (2024-07-09T17:33:24Z) - DiVerify: Diversifying Identity Verification in Next-Generation Software Signing [6.367742522528132]
コード署名は、ソフトウェア開発者が暗号化キーを使用してデジタル署名することで、コードをアイデンティティに関連付けることを可能にする。
SigstoreやOpenPubKeyといった次世代ソフトウェア署名は、署名者のIDを公開キーにリンクする合理化メカニズムを提供することで、コードの署名を単純化する。
本稿では、しきい値の正当性検証とスコープ機構を活用することにより、次世代ソフトウェア署名のセキュリティ保証を強化するDiverse Identity Verification(DiVerify)方式を提案する。
論文 参考訳(メタデータ) (2024-06-21T18:53:52Z) - AgentScope: A Flexible yet Robust Multi-Agent Platform [66.64116117163755]
AgentScopeは、メッセージ交換をコアコミュニケーションメカニズムとする、開発者中心のマルチエージェントプラットフォームである。
豊富な構文ツール、組み込みエージェントとサービス機能、アプリケーションのデモとユーティリティモニタのためのユーザフレンドリなインターフェース、ゼロコードプログラミングワークステーション、自動プロンプトチューニング機構により、開発とデプロイメントの両方の障壁は大幅に低下した。
論文 参考訳(メタデータ) (2024-02-21T04:11:28Z) - Passwords Are Meant to Be Secret: A Practical Secure Password Entry Channel for Web Browsers [7.049738935364298]
悪質なクライアントサイドスクリプトとブラウザ拡張機能は、マネージャによってWebページにオートフィルされた後、パスワードを盗むことができる。
本稿では,パスワードマネージャがユーザ動作の変更を必要とせず,自動記入証明書の盗難を防止する上でどのような役割を果たせるかを検討する。
論文 参考訳(メタデータ) (2024-02-09T03:21:14Z) - SOAP: A Social Authentication Protocol [0.0]
私たちは、社会認証を正式に定義し、社会認証をほとんど自動化し、SOAPのセキュリティを正式に証明し、SOAPの実用性を実証するSOAPと呼ばれるプロトコルを提示します。
1つのプロトタイプはWebベースで、もう1つはオープンソースのSignalメッセージングアプリケーションで実装されている。
論文 参考訳(メタデータ) (2024-02-05T17:03:10Z) - HasTEE+ : Confidential Cloud Computing and Analytics with Haskell [50.994023665559496]
信頼性コンピューティングは、Trusted Execution Environments(TEEs)と呼ばれる特別なハードウェア隔離ユニットを使用して、コテナントクラウドデプロイメントにおける機密コードとデータの保護を可能にする。
低レベルのC/C++ベースのツールチェーンを提供するTEEは、固有のメモリ安全性の脆弱性の影響を受けやすく、明示的で暗黙的な情報フローのリークを監視するための言語構造が欠如している。
私たちは、Haskellに埋め込まれたドメイン固有言語(cla)であるHasTEE+を使って、上記の問題に対処します。
論文 参考訳(メタデータ) (2024-01-17T00:56:23Z) - TaskWeaver: A Code-First Agent Framework [50.99683051759488]
TaskWeaverは、LLMで動く自律エージェントを構築するためのコードファーストフレームワークである。
ユーザ要求を実行可能なコードに変換し、ユーザ定義プラグインを呼び出し可能な関数として扱う。
リッチなデータ構造、フレキシブルなプラグイン利用、動的プラグイン選択のサポートを提供する。
論文 参考訳(メタデータ) (2023-11-29T11:23:42Z) - ROSTAM: A Passwordless Web Single Sign-on Solution Mitigating Server Breaches and Integrating Credential Manager and Federated Identity Systems [0.0]
クレデンシャル・マネジメントとフェデレーション・アイデンティティ・システムを統合することで,ユーザにとって不利で信頼性の高いオンラインエクスペリエンスを提供する,パスワードのない未来を構想する。
この点に関して、ROSTAMは、パスワードのないSSOの後、ユーザが1クリックでアクセスできるすべてのアプリケーションを示すダッシュボードを提供します。
クレデンシャルマネージャのウェブパスワードのセキュリティはマスターパスワードではなくマスターキーで保証されるので、暗号化パスワードはサーバから盗まれたとしても安全である。
論文 参考訳(メタデータ) (2023-10-08T16:41:04Z) - Not what you've signed up for: Compromising Real-World LLM-Integrated
Applications with Indirect Prompt Injection [64.67495502772866]
大規模言語モデル(LLM)は、様々なアプリケーションに統合されつつある。
本稿では、プロンプトインジェクション攻撃を用いて、攻撃者が元の命令をオーバーライドし、制御を採用する方法を示す。
我々は、コンピュータセキュリティの観点から、影響や脆弱性を体系的に調査する包括的な分類法を導出する。
論文 参考訳(メタデータ) (2023-02-23T17:14:38Z) - Unified Singular Protocol Flow for OAuth (USPFO) Ecosystem [2.3526458707956643]
我々は,OAuth(USPFO)のための統一的な単一プロトコルフローに,異なるクライアントと付与型を組み合わせた新しいOAuthエコシステムを提案する。
USPFOは、異なるクライアントタイプと付与型の実装と設定に関連する脆弱性を減らすことを目的としている。
クライアントの偽造、トークン(またはコード)盗難、整合性、認証、バインドオーディエンスによる攻撃など、既知のOAuth 2.0脆弱性に対するビルトイン保護を提供する。
論文 参考訳(メタデータ) (2023-01-29T17:22:02Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。