論文の概要: Browser Security Posture Analysis: A Client-Side Security Assessment Framework
- arxiv url: http://arxiv.org/abs/2505.08050v1
- Date: Mon, 12 May 2025 20:38:19 GMT
- ステータス: 翻訳完了
- システム内更新日: 2025-05-14 20:57:54.327991
- Title: Browser Security Posture Analysis: A Client-Side Security Assessment Framework
- Title(参考訳): ブラウザのセキュリティ姿勢分析:クライアントサイドのセキュリティアセスメントフレームワーク
- Authors: Avihay Cohen,
- Abstract要約: 本稿では、ブラウザ内で完全にJavaScriptとWebAssemblyで動作する、ブラウザベースのクライアント側セキュリティアセスメントツールキットを提案する。
ブラウザ内セキュリティテスト120以上のバッテリを実行し、セキュリティポリシとネットワークレベルやosレベルのツールが監視できない機能の詳細診断を提供する。
本稿では,ブラウザセキュリティとエンタープライズエンドポイントソリューションの関連作業と比較し,リアルタイム姿勢監視やSIEM統合といった今後の機能拡張について述べる。
- 参考スコア(独自算出の注目度): 0.0
- License: http://creativecommons.org/licenses/by-sa/4.0/
- Abstract: Modern web browsers have effectively become the new operating system for business applications, yet their security posture is often under-scrutinized. This paper presents a novel, comprehensive Browser Security Posture Analysis Framework[1], a browser-based client-side security assessment toolkit that runs entirely in JavaScript and WebAssembly within the browser. It performs a battery of over 120 in-browser security tests in situ, providing fine-grained diagnostics of security policies and features that network-level or os-level tools cannot observe. This yields insights into how well a browser enforces critical client-side security invariants. We detail the motivation for such a framework, describe its architecture and implementation, and dive into the technical design of numerous test modules (covering the same-origin policy, cross-origin resource sharing, content security policy, sandboxing, XSS protection, extension interference via WeakRefs, permissions audits, garbage collection behavior, cryptographic APIs, SSL certificate validation, advanced web platform security features like SharedArrayBuffer, Content filtering controls ,and internal network accessibility). We then present an experimental evaluation across different browsers and enterprise scenarios, highlighting gaps in legacy browsers and common misconfigurations. Finally, we discuss the security and privacy implications of our findings, compare with related work in browser security and enterprise endpoint solutions, and outline future enhancements such as real-time posture monitoring and SIEM integration.
- Abstract(参考訳): 現代のウェブブラウザは事実上、ビジネスアプリケーションのための新しいオペレーティングシステムとなっているが、そのセキュリティ姿勢はしばしば過小評価されている。
本稿では,ブラウザ上で完全にJavaScriptとWebAssemblyで動作するブラウザベースのクライアントサイドセキュリティアセスメントツールキットであるブラウザセキュリティポストアセスメントフレームワーク[1]を提案する。
ブラウザ内セキュリティテスト120以上のバッテリを実行し、セキュリティポリシとネットワークレベルやosレベルのツールが監視できない機能の詳細診断を提供する。
これにより、ブラウザが重要なクライアント側のセキュリティ不変性をどのように実施するかに関する洞察が得られる。
このようなフレームワークのモチベーションを詳述し、そのアーキテクチャと実装を説明し、多数のテストモジュールの技術的な設計(同じオリジンポリシー、クロスオリジンのリソース共有、コンテンツセキュリティポリシー、サンドボックス、XSS保護、WeakRefsによる拡張干渉、パーミッション監査、ガベージコレクションの動作、暗号化API、SSL証明書検証、SharedArrayBufferのような先進的なWebプラットフォームセキュリティ機能、コンテンツフィルタリングコントロール、および内部ネットワークアクセシビリティ)を掘り下げます。
次に、さまざまなブラウザとエンタープライズシナリオにまたがって実験的な評価を行い、レガシーブラウザのギャップと一般的な設定ミスを強調します。
最後に,ブラウザセキュリティとエンタープライズエンドポイントソリューションの関連作業と比較し,リアルタイム姿勢監視やSIEM統合といった今後の機能拡張について述べる。
関連論文リスト
- User Profiles: The Achilles' Heel of Web Browsers [12.5263811476743]
Tor Browserを除いて、現代のすべてのブラウザは、機密データをほとんど、あるいは全く、完全性や機密性を管理することなく、ホームディレクトリに格納している。
パスワードやクッキーの暗号化といったセキュリティ対策は、簡単にバイパスできることを示す。
HTTPSは、カスタムの潜在的に悪意のあるルート証明書をデプロイすることで、完全にバイパスすることができる。
論文 参考訳(メタデータ) (2025-04-24T16:01:48Z) - Towards Trustworthy GUI Agents: A Survey [64.6445117343499]
本調査では,GUIエージェントの信頼性を5つの重要な次元で検証する。
敵攻撃に対する脆弱性、シーケンシャルな意思決定における障害モードのカスケードなど、大きな課題を特定します。
GUIエージェントが普及するにつれて、堅牢な安全基準と責任ある開発プラクティスを確立することが不可欠である。
論文 参考訳(メタデータ) (2025-03-30T13:26:00Z) - ST-WebAgentBench: A Benchmark for Evaluating Safety and Trustworthiness in Web Agents [3.09793323158304]
本稿では,Webエージェントの安全性と信頼性を6つの重要な次元にわたって評価するベンチマークSTWebAgentBenchを提案する。
このベンチマークは、セーフで信頼できる(ST)エージェントの振る舞いを定義する詳細なフレームワークに基づいている。
私たちはこのベンチマークをオープンソース化し、新しい世代の安全で信頼性の高いAIエージェントを育成することを目的として、コミュニティにコントリビューションを呼びかけます。
論文 参考訳(メタデータ) (2024-10-09T09:13:38Z) - WebAssembly and Security: a review [0.8962460460173961]
私たちは7つの異なるセキュリティカテゴリを識別することで121の論文を分析します。
このギャップを埋めるために、WebAssemblyのセキュリティを扱う研究の包括的なレビューを提案しています。
論文 参考訳(メタデータ) (2024-07-17T03:37:28Z) - Securing the Open RAN Infrastructure: Exploring Vulnerabilities in Kubernetes Deployments [60.51751612363882]
ソフトウェアベースのオープン無線アクセスネットワーク(RAN)システムのセキュリティへの影響について検討する。
我々は、Near Real-Time RAN Controller(RIC)クラスタをサポートするインフラストラクチャに潜在的な脆弱性と設定ミスがあることを強調します。
論文 参考訳(メタデータ) (2024-05-03T07:18:45Z) - An Exploration Into Web Session Security- A Systematic Literature Review [0.0]
Webセッションに対する最も一般的な攻撃は、例えば、信頼されたWebブラウザアプリケーションで法的にセッションを作成しようとする、Webブラウザの正直なユーザに対する攻撃である。
我々は、既存のセキュリティソリューションをレビューすることで、特定のソリューションの有効性を判断する4つの異なる方法を評価した。
私たちが特定したガイドラインは、より構造化され包括的な方法でWebセキュリティを進める創造的なソリューションに役立ちます。
論文 参考訳(メタデータ) (2023-10-14T16:22:07Z) - SyzTrust: State-aware Fuzzing on Trusted OS Designed for IoT Devices [67.65883495888258]
我々は、リソース制限されたTrusted OSのセキュリティを検証するための、最初の状態認識ファジィフレームワークであるSyzTrustを紹介する。
SyzTrustはハードウェア支援フレームワークを採用し、IoTデバイス上でTrusted OSを直接ファジングできるようにする。
我々は、Samsung、Tsinglink Cloud、Ali Cloudの3つの主要なベンダーからSyzTrust on Trusted OSを評価した。
論文 参考訳(メタデータ) (2023-09-26T08:11:38Z) - Exploring Security Practices in Infrastructure as Code: An Empirical
Study [54.669404064111795]
クラウドコンピューティングは、Infrastructure as Code (IaC)ツールが広く使われていることで人気を博している。
スクリプティングプロセスは、実践者が自動的に設定ミスや脆弱性、プライバシリスクを導入するのを防ぐものではない。
セキュリティの確保は、実践者が明確な方針、ガイドライン、ベストプラクティスを理解し、採用することに依存する。
論文 参考訳(メタデータ) (2023-08-07T23:43:32Z) - Dos and Don'ts of Machine Learning in Computer Security [74.1816306998445]
大きな可能性にもかかわらず、セキュリティにおける機械学習は、パフォーマンスを損なう微妙な落とし穴を引き起こす傾向がある。
我々は,学習ベースのセキュリティシステムの設計,実装,評価において共通の落とし穴を特定する。
我々は,落とし穴の回避や軽減を支援するために,研究者を支援するための実用的な勧告を提案する。
論文 参考訳(メタデータ) (2020-10-19T13:09:31Z) - Autosploit: A Fully Automated Framework for Evaluating the
Exploitability of Security Vulnerabilities [47.748732208602355]
Autosploitは脆弱性の悪用性を評価するためのフレームワークだ。
環境の異なる設定でエクスプロイトを自動的にテストする。
ノイズレス環境とノイズの多い環境の両方で脆弱性を悪用する能力に影響を与えるシステムの特性を識別することができる。
論文 参考訳(メタデータ) (2020-06-30T18:49:18Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。