論文の概要: Least Privilege Access for Persistent Storage Mechanisms in Web Browsers

• arxiv url: http://arxiv.org/abs/2411.15416v1
• Date: Sat, 23 Nov 2024 02:25:43 GMT
• ステータス: 翻訳完了
• システム内更新日: 2024-11-26 14:17:58.537642
• Title: Least Privilege Access for Persistent Storage Mechanisms in Web Browsers
• Title（参考訳）: Web ブラウザの永続的ストレージ機構に対する最小のプライビレージアクセス
• Authors: Gayatri Priyadarsini Kancherla, Dishank Goel, Abhishek Bichhawat,
• Abstract要約: サードパーティスクリプトは、クッキーやローカルストレージ、IndexedDBといった永続的なストレージに格納されているユーザのプライベートデータに、無制限にアクセスできる。 永続記憶オブジェクトのきめ細かい制御を強制する機構を提案する。
• 参考スコア（独自算出の注目度）: 1.7995136786901533
• License:
• Abstract: Web applications often include third-party content and scripts to personalize a user's online experience. These scripts have unrestricted access to a user's private data stored in the browser's persistent storage like cookies, localstorage and IndexedDB, associated with the host page. Various mechanisms have been implemented to restrict access to these storage objects, e.g., content security policy, the HttpOnly attribute with cookies, etc. However, the existing mechanisms provide an all-or-none access and do not work in scenarios where web applications need to allow controlled access to cookies and localstorage objects by third-party scripts. If some of these scripts behave maliciously, they can easily access and modify private user information that are stored in the browser objects. The goal of our work is to design a mechanism to enforce fine-grained control of persistent storage objects. We perform an empirical study of persistent storage access by third-party scripts on Tranco's top 10,000 websites and find that 89.84% of all cookie accesses, 90.98% of all localstorage accesses and 72.49% of IndexedDB accesses are done by third-party scripts. Our approach enforces least privilege access for third-party scripts on these objects to ensure their security by attaching labels to the storage objects that specify which domains are allowed to read from and write to these objects. We implement our approach on the Firefox browser and show that it effectively blocks scripts from other domains, which are not allowed access based on these labels, from accessing the storage objects. We show that our enforcement results in some functionality breakage in websites with the default settings, which can be fixed by correctly labeling the storage objects used by the third-party scripts.
• Abstract（参考訳）: Webアプリケーションは、ユーザのオンライン体験をパーソナライズするためのサードパーティのコンテンツやスクリプトを含むことが多い。 これらのスクリプトは、ホストページに関連するクッキー、ローカルストレージ、IndexedDBなどのブラウザの永続ストレージに格納されているユーザのプライベートデータに無制限にアクセスすることができる。 これらのストレージオブジェクトへのアクセスを制限するために、たとえば、コンテンツセキュリティポリシー、クッキーを使ったHttpOnly属性など、さまざまなメカニズムが実装されている。 しかし、既存のメカニズムはオール・オ・ナオンアクセスを提供しており、サードパーティのスクリプトによるクッキーやローカルストレージオブジェクトへの制御されたアクセスをWebアプリケーションが許可する必要があるシナリオでは機能しない。 これらのスクリプトのいくつかが悪質に振る舞うと、ブラウザオブジェクトに格納されているプライベートなユーザー情報に簡単にアクセスして変更することができる。 私たちの研究の目的は、永続的なストレージオブジェクトのきめ細かい制御を強制するメカニズムを設計することです。 Trancoのトップ10,000のWebサイト上で、サードパーティスクリプトによる永続的なストレージアクセスに関する実証的研究を行い、すべてのクッキーアクセスの89.84%、すべてのローカルストレージアクセスの90.98%、IndexedDBアクセスの72.49%がサードパーティスクリプトによって行われていることを発見した。 当社のアプローチでは,これらのオブジェクトの読み込みと書き込みを許可するドメインを指定するストレージオブジェクトにラベルをアタッチすることで,これらのオブジェクト上のサードパーティスクリプトに対して,セキュリティを確保するために,最小限の特権アクセスを強制しています。 当社のアプローチはFirefoxブラウザ上で実装されており,これらのラベルに基づいてアクセスできない他のドメインからのスクリプトを,ストレージオブジェクトへのアクセスを効果的にブロックしていることを示す。 当社の実施によって、デフォルト設定のWebサイトにおいていくつかの機能が破壊され、サードパーティスクリプトが使用するストレージオブジェクトを正しくラベル付けすることで、修正できることが示されています。

関連論文リスト

• Extracting Database Access-control Policies From Web Applications [5.193592261722995]
  アプリケーションコードにどのポリシーが埋め込まれているのか、アプリケーションがどのデータにアクセスするのかを神にするのは困難です。 本稿では,アクセス制御政策の抽出という政策抽出に取り組む。 Oteは、Ruby-on-Rails Webアプリケーションのポリシー抽出ツールである。
  論文  参考訳（メタデータ） (2024-11-18T08:58:11Z)
• Infogent: An Agent-Based Framework for Web Information Aggregation [59.67710556177564]
  我々はWeb情報集約のための新しいフレームワークInfogentを紹介する。 異なる情報アクセス設定の実験では、Infogentが既存のSOTAマルチエージェント検索フレームワークを7%上回った。
  論文  参考訳（メタデータ） (2024-10-24T18:01:28Z)
• COOKIEGUARD: Characterizing and Isolating the First-Party Cookie Jar [14.314375420700504]
  サードパーティスクリプトは、ウェブサイトのメインフレームに含まれているため、ブラウザのクッキーjarにサードパーティのクッキーを書き込み(またはtextitghost-write)する。 サードパーティ製スクリプトは、実際のサードパーティ製クッキーや、別のサードパーティ製スクリプトによるゴースト書きのサードパーティ製クッキーなど、すべてのサードパーティ製クッキーにアクセスすることができる。 メインフレームに異なるサードパーティスクリプトが設定した第1のクッキーを分離する名称を提案する。
  論文  参考訳（メタデータ） (2024-06-08T01:02:49Z)
• Towards Browser Controls to Protect Cookies from Malicious Extensions [5.445001663133085]
  クッキーは、それらを盗み、ユーザーアカウントに不正アクセスしようとする攻撃の貴重な標的だ。 拡張は、複数の特権APIにアクセスするサードパーティのHTML/JavaScriptアドオンであり、一度に複数のWebサイトで実行できる。 悪質なエクステンションからクッキーを保護する2つの新しいクッキー属性に基づいたブラウザ制御を提案する。
  論文  参考訳（メタデータ） (2024-05-10T22:04:56Z)
• AutoScraper: A Progressive Understanding Web Agent for Web Scraper Generation [54.17246674188208]
  Webスクレイピングは、Webサイトからデータを抽出し、自動データ収集を可能にし、データ分析機能を強化し、手動のデータ入力作業を最小化する強力なテクニックである。 既存の手法では、ラッパーベースの手法は、新しいウェブサイトで直面する場合、適応性とスケーラビリティの制限に悩まされる。 本稿では,大規模言語モデル(LLM)を用いたWebスクレイパー生成のパラダイムを紹介し,多様なWeb環境をより効率的に処理できる2段階フレームワークであるAutoScraperを提案する。
  論文  参考訳（メタデータ） (2024-04-19T09:59:44Z)
• TaskWeaver: A Code-First Agent Framework [50.99683051759488]
  TaskWeaverは、LLMで動く自律エージェントを構築するためのコードファーストフレームワークである。 ユーザ要求を実行可能なコードに変換し、ユーザ定義プラグインを呼び出し可能な関数として扱う。 リッチなデータ構造、フレキシブルなプラグイン利用、動的プラグイン選択のサポートを提供する。
  論文  参考訳（メタデータ） (2023-11-29T11:23:42Z)
• Exploring Security Practices in Infrastructure as Code: An Empirical Study [54.669404064111795]
  クラウドコンピューティングは、Infrastructure as Code (IaC)ツールが広く使われていることで人気を博している。 スクリプティングプロセスは、実践者が自動的に設定ミスや脆弱性、プライバシリスクを導入するのを防ぐものではない。 セキュリティの確保は、実践者が明確な方針、ガイドライン、ベストプラクティスを理解し、採用することに依存する。
  論文  参考訳（メタデータ） (2023-08-07T23:43:32Z)
• Uncovering Fingerprinting Networks. An Analysis of In-Browser Tracking using a Behavior-based Approach [0.0]
  この論文は、インターネット上でのブラウザのフィンガープリントの現状を探求している。 我々はFPNETを実装し,その動作を観察することで,大量のWebサイト上で指紋認証スクリプトを識別する。 Google、Yandex、Maxmind、Sift、FingerprintJSといった企業を追跡します。
  論文  参考訳（メタデータ） (2022-08-15T18:06:25Z)
• SPAct: Self-supervised Privacy Preservation for Action Recognition [73.79886509500409]
  アクション認識におけるプライバシー漏洩を緩和するための既存のアプローチは、ビデオデータセットのアクションラベルとともに、プライバシラベルを必要とする。 自己教師付き学習(SSL)の最近の進歩は、未ラベルデータの未発見の可能性を解き放ちつつある。 本稿では、プライバシーラベルを必要とせず、自己管理的な方法で、入力ビデオからプライバシー情報を除去する新しいトレーニングフレームワークを提案する。
  論文  参考訳（メタデータ） (2022-03-29T02:56:40Z)
• Adversarial EXEmples: A Survey and Experimental Evaluation of Practical Attacks on Machine Learning for Windows Malware Detection [67.53296659361598]
  EXEmplesは、比較的少ない入力バイトを摂動することで、機械学習に基づく検出をバイパスすることができる。 我々は、機械学習モデルに対する過去の攻撃を包含し、一般化するだけでなく、3つの新たな攻撃を含む統一フレームワークを開発する。 これらの攻撃はFull DOS、Extended、Shiftと呼ばれ、DOSヘッダをそれぞれ操作し、拡張し、第1セクションの内容を変更することで、敵のペイロードを注入する。
  論文  参考訳（メタデータ） (2020-08-17T07:16:57Z)
• Privacy-Preserving Script Sharing in GUI-based Programming-by-Demonstration Systems [11.477824955297196]
  エンドユーザー開発(EUD)における重要な関心事は、プログラムアーティファクトに誤って個人情報を埋め込むことである。 GUIベースのPBDスクリプトにおいて、潜在的な個人情報を識別し、難読化する新しいアプローチを提案する。
  論文  参考訳（メタデータ） (2020-04-17T17:20:10Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。