論文の概要: Least Privilege Access for Persistent Storage Mechanisms in Web Browsers

• arxiv url: http://arxiv.org/abs/2411.15416v1
• Date: Sat, 23 Nov 2024 02:25:43 GMT
• ステータス: 翻訳完了
• システム内更新日: 2024-11-26 14:17:58.537642
• Title: Least Privilege Access for Persistent Storage Mechanisms in Web Browsers
• Title（参考訳）: Web ブラウザの永続的ストレージ機構に対する最小のプライビレージアクセス
• Authors: Gayatri Priyadarsini Kancherla, Dishank Goel, Abhishek Bichhawat,
• Abstract要約: サードパーティスクリプトは、クッキーやローカルストレージ、IndexedDBといった永続的なストレージに格納されているユーザのプライベートデータに、無制限にアクセスできる。 永続記憶オブジェクトのきめ細かい制御を強制する機構を提案する。
• 参考スコア（独自算出の注目度）: 1.7995136786901533
• License:
• Abstract: Web applications often include third-party content and scripts to personalize a user's online experience. These scripts have unrestricted access to a user's private data stored in the browser's persistent storage like cookies, localstorage and IndexedDB, associated with the host page. Various mechanisms have been implemented to restrict access to these storage objects, e.g., content security policy, the HttpOnly attribute with cookies, etc. However, the existing mechanisms provide an all-or-none access and do not work in scenarios where web applications need to allow controlled access to cookies and localstorage objects by third-party scripts. If some of these scripts behave maliciously, they can easily access and modify private user information that are stored in the browser objects. The goal of our work is to design a mechanism to enforce fine-grained control of persistent storage objects. We perform an empirical study of persistent storage access by third-party scripts on Tranco's top 10,000 websites and find that 89.84% of all cookie accesses, 90.98% of all localstorage accesses and 72.49% of IndexedDB accesses are done by third-party scripts. Our approach enforces least privilege access for third-party scripts on these objects to ensure their security by attaching labels to the storage objects that specify which domains are allowed to read from and write to these objects. We implement our approach on the Firefox browser and show that it effectively blocks scripts from other domains, which are not allowed access based on these labels, from accessing the storage objects. We show that our enforcement results in some functionality breakage in websites with the default settings, which can be fixed by correctly labeling the storage objects used by the third-party scripts.
• Abstract（参考訳）: Webアプリケーションは、ユーザのオンライン体験をパーソナライズするためのサードパーティのコンテンツやスクリプトを含むことが多い。 これらのスクリプトは、ホストページに関連するクッキー、ローカルストレージ、IndexedDBなどのブラウザの永続ストレージに格納されているユーザのプライベートデータに無制限にアクセスすることができる。 これらのストレージオブジェクトへのアクセスを制限するために、たとえば、コンテンツセキュリティポリシー、クッキーを使ったHttpOnly属性など、さまざまなメカニズムが実装されている。 しかし、既存のメカニズムはオール・オ・ナオンアクセスを提供しており、サードパーティのスクリプトによるクッキーやローカルストレージオブジェクトへの制御されたアクセスをWebアプリケーションが許可する必要があるシナリオでは機能しない。 これらのスクリプトのいくつかが悪質に振る舞うと、ブラウザオブジェクトに格納されているプライベートなユーザー情報に簡単にアクセスして変更することができる。 私たちの研究の目的は、永続的なストレージオブジェクトのきめ細かい制御を強制するメカニズムを設計することです。 Trancoのトップ10,000のWebサイト上で、サードパーティスクリプトによる永続的なストレージアクセスに関する実証的研究を行い、すべてのクッキーアクセスの89.84%、すべてのローカルストレージアクセスの90.98%、IndexedDBアクセスの72.49%がサードパーティスクリプトによって行われていることを発見した。 当社のアプローチでは,これらのオブジェクトの読み込みと書き込みを許可するドメインを指定するストレージオブジェクトにラベルをアタッチすることで,これらのオブジェクト上のサードパーティスクリプトに対して,セキュリティを確保するために,最小限の特権アクセスを強制しています。 当社のアプローチはFirefoxブラウザ上で実装されており,これらのラベルに基づいてアクセスできない他のドメインからのスクリプトを,ストレージオブジェクトへのアクセスを効果的にブロックしていることを示す。 当社の実施によって、デフォルト設定のWebサイトにおいていくつかの機能が破壊され、サードパーティスクリプトが使用するストレージオブジェクトを正しくラベル付けすることで、修正できることが示されています。

関連論文リスト

• Auditing Prompt Caching in Language Model APIs [77.02079451561718]
  大規模言語モデル(LLM)における即時キャッシュによるプライバシリークについて検討する。 OpenAIを含む7つのAPIプロバイダのユーザ間でのグローバルキャッシュ共有を検出します。 OpenAIの埋め込みモデルがデコーダのみのトランスフォーマーであることの証拠が見つかりました。
  論文  参考訳（メタデータ） (2025-02-11T18:58:04Z)
• Personalized Language Model Learning on Text Data Without User Identifiers [79.36212347601223]
  ユーザの埋め込みを動的に生成するために,各モバイルデバイスがユーザ固有の分布を維持することを提案する。 クラウドがアップロードされた埋め込みを通じてユーザを追跡するのを防ぐために、異なるユーザのローカルディストリビューションは、線形依存空間から導出されるべきである。 パブリックデータセットとインダストリアルデータセットの両方の評価では、匿名ユーザ埋め込みの導入による精度の大幅な向上が示されている。
  論文  参考訳（メタデータ） (2025-01-10T15:46:19Z)
• On the Differential Privacy and Interactivity of Privacy Sandbox Reports [78.21466601986265]
  GoogleのPrivacy Sandboxイニシアチブには、プライバシ保護広告機能を実現するAPIが含まれている。 これらのAPIのプライバシを分析するための形式モデルを提供し、それらが正式なDP保証を満たすことを示す。
  論文  参考訳（メタデータ） (2024-12-22T08:22:57Z)
• Extracting Database Access-control Policies From Web Applications [5.193592261722995]
  人間がアプリケーションコードにどのポリシーが埋め込まれているのか、アプリケーションがどのデータにアクセスするのかを識別することは困難である。 本稿では,データクエリを要約することで,アプリケーションに埋め込まれたアクセス制御ポリシを抽出するタスクであるポリシー抽出に取り組む。 我々はRuby-on-Rails Webアプリケーションのポリシー抽出ツールであるOteを紹介した。
  論文  参考訳（メタデータ） (2024-11-18T08:58:11Z)
• Infogent: An Agent-Based Framework for Web Information Aggregation [59.67710556177564]
  我々はWeb情報集約のための新しいフレームワークInfogentを紹介する。 異なる情報アクセス設定の実験では、Infogentが既存のSOTAマルチエージェント検索フレームワークを7%上回った。
  論文  参考訳（メタデータ） (2024-10-24T18:01:28Z)
• COOKIEGUARD: Characterizing and Isolating the First-Party Cookie Jar [14.314375420700504]
  サードパーティスクリプトは、ウェブサイトのメインフレームに含まれているため、ブラウザのクッキーjarにサードパーティのクッキーを書き込み(またはtextitghost-write)する。 サードパーティ製スクリプトは、実際のサードパーティ製クッキーや、別のサードパーティ製スクリプトによるゴースト書きのサードパーティ製クッキーなど、すべてのサードパーティ製クッキーにアクセスすることができる。 メインフレームに異なるサードパーティスクリプトが設定した第1のクッキーを分離する名称を提案する。
  論文  参考訳（メタデータ） (2024-06-08T01:02:49Z)
• Towards Browser Controls to Protect Cookies from Malicious Extensions [5.445001663133085]
  クッキーは、それらを盗み、ユーザーアカウントに不正アクセスしようとする攻撃の貴重な標的だ。 拡張は、複数の特権APIにアクセスするサードパーティのHTML/JavaScriptアドオンであり、一度に複数のWebサイトで実行できる。 悪質なエクステンションからクッキーを保護する2つの新しいクッキー属性に基づいたブラウザ制御を提案する。
  論文  参考訳（メタデータ） (2024-05-10T22:04:56Z)
• AutoScraper: A Progressive Understanding Web Agent for Web Scraper Generation [54.17246674188208]
  Webスクレイピングは、Webサイトからデータを抽出し、自動データ収集を可能にし、データ分析機能を強化し、手動のデータ入力作業を最小化する強力なテクニックである。 既存の手法では、ラッパーベースの手法は、新しいウェブサイトで直面する場合、適応性とスケーラビリティの制限に悩まされる。 本稿では,大規模言語モデル(LLM)を用いたWebスクレイパー生成のパラダイムを紹介し,多様なWeb環境をより効率的に処理できる2段階フレームワークであるAutoScraperを提案する。
  論文  参考訳（メタデータ） (2024-04-19T09:59:44Z)
• Uncovering Fingerprinting Networks. An Analysis of In-Browser Tracking using a Behavior-based Approach [0.0]
  この論文は、インターネット上でのブラウザのフィンガープリントの現状を探求している。 我々はFPNETを実装し,その動作を観察することで,大量のWebサイト上で指紋認証スクリプトを識別する。 Google、Yandex、Maxmind、Sift、FingerprintJSといった企業を追跡します。
  論文  参考訳（メタデータ） (2022-08-15T18:06:25Z)
• SPAct: Self-supervised Privacy Preservation for Action Recognition [73.79886509500409]
  アクション認識におけるプライバシー漏洩を緩和するための既存のアプローチは、ビデオデータセットのアクションラベルとともに、プライバシラベルを必要とする。 自己教師付き学習(SSL)の最近の進歩は、未ラベルデータの未発見の可能性を解き放ちつつある。 本稿では、プライバシーラベルを必要とせず、自己管理的な方法で、入力ビデオからプライバシー情報を除去する新しいトレーニングフレームワークを提案する。
  論文  参考訳（メタデータ） (2022-03-29T02:56:40Z)
• Privacy-Preserving Script Sharing in GUI-based Programming-by-Demonstration Systems [11.477824955297196]
  エンドユーザー開発(EUD)における重要な関心事は、プログラムアーティファクトに誤って個人情報を埋め込むことである。 GUIベースのPBDスクリプトにおいて、潜在的な個人情報を識別し、難読化する新しいアプローチを提案する。
  論文  参考訳（メタデータ） (2020-04-17T17:20:10Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。