論文の概要: Local Frames: Exploiting Inherited Origins to Bypass Content Blockers

• arxiv url: http://arxiv.org/abs/2506.00317v1
• Date: Sat, 31 May 2025 00:07:24 GMT
• ステータス: 翻訳完了
• システム内更新日: 2025-06-05 04:22:50.627824
• Title: Local Frames: Exploiting Inherited Origins to Bypass Content Blockers
• Title（参考訳）: ローカルフレーム:コンテンツブロッカーをバイパスするために継承されたオリジナルを爆発させる
• Authors: Alisha Ukani, Hamed Haddadi, Alex C. Snoeren, Peter Snyder,
• Abstract要約: ローカルフレームは、"about:blank"のようなURL以外のソースを持つiframeである 本稿では,ローカルフレームがさまざまなWebセキュリティおよびプライバシツールによってどのように扱われているかについて検討する。
• 参考スコア（独自算出の注目度）: 9.01934402761379
• License: http://creativecommons.org/licenses/by/4.0/
• Abstract: We present a study of how local frames (i.e., iframes with non-URL sources like "about:blank") are mishandled by a wide range of popular Web security and privacy tools. As a result, users of these tools remain vulnerable to the very attack techniques they seek to protect against, including browser fingerprinting, cookie-based tracking, and data exfiltration. The tools we study are vulnerable in different ways, but all share a root cause: legacy Web functionality interacting with browser privacy boundaries in unexpected ways, leading to systemic vulnerabilities in tools developed, maintained, and recommended by privacy experts and activists. We consider four core capabilities supported by most privacy tools and develop tests to determine whether each can be evaded through the use of local frames. We apply our tests to six popular Web privacy and security tools, identifying at least one vulnerability in each for a total of 19, and extract common patterns regarding their mishandling of local frames. Our measurement of popular websites finds that 56% employ local frames and that 73.7% of the requests made by these local frames should be blocked by popular filter lists but instead trigger the vulnerabilities we identify; from another perspective, 14.3% of all sites that we crawl make requests that should be blocked inside of local frames. We disclosed the vulnerabilities to the tool authors and discuss both our experiences working with them to patch their products and the implications of our findings for other privacy and security research.
• Abstract（参考訳）: ローカルフレーム(例えば、"about:blank"のようなURL以外のソースを持つiframe)が、さまざまなWebセキュリティとプライバシツールによって、どのように扱われているかを示す。 その結果、これらのツールのユーザは、ブラウザのフィンガープリント、クッキーベースのトラッキング、データ流出など、自分たちが守ろうとしている攻撃技術に弱いままになっている。 レガシーなWeb機能がブラウザのプライバシー境界と予期しない方法で相互作用し、プライバシの専門家や活動家によって開発、維持、推奨されるツールのシステム的脆弱性につながる。 我々は,ほとんどのプライバシツールでサポートされている4つのコア機能について検討し,それぞれがローカルフレームを使用して回避できるかどうかを判断するテストを開発した。 テストは6つの一般的なWebプライバシとセキュリティツールに適用し、19の合計で少なくとも1つの脆弱性を特定し、ローカルフレームの不正処理に関する一般的なパターンを抽出します。 一般的なWebサイトの計測では、56%がローカルフレームを採用しており、これらのローカルフレームが要求した73.7%は、人気のあるフィルタリストによってブロックされるべきである。 ツール作者に脆弱性を開示し、製品にパッチを当てた経験と、他のプライバシとセキュリティ研究への私たちの発見の影響について話し合いました。

関連論文リスト

• VPI-Bench: Visual Prompt Injection Attacks for Computer-Use Agents [74.6761188527948]
  完全なシステムアクセスを持つコンピュータ利用エージェント(CUA)は、セキュリティとプライバシの重大なリスクを負う。 我々は、悪意のある命令がレンダリングされたユーザーインターフェイスに視覚的に埋め込まれた視覚的プロンプトインジェクション(VPI)攻撃について検討する。 実験により,現在のCUAとBUAは,それぞれのプラットフォーム上で最大51%,100%の速度で騙すことができることがわかった。
  論文  参考訳（メタデータ） (2025-06-03T05:21:50Z)
• Browser Security Posture Analysis: A Client-Side Security Assessment Framework [0.0]
  本稿では、ブラウザ内で完全にJavaScriptとWebAssemblyで動作する、ブラウザベースのクライアント側セキュリティアセスメントツールキットを提案する。 ブラウザ内セキュリティテスト120以上のバッテリを実行し、セキュリティポリシとネットワークレベルやosレベルのツールが監視できない機能の詳細診断を提供する。 本稿では,ブラウザセキュリティとエンタープライズエンドポイントソリューションの関連作業と比較し,リアルタイム姿勢監視やSIEM統合といった今後の機能拡張について述べる。
  論文  参考訳（メタデータ） (2025-05-12T20:38:19Z)
• Web Privacy based on Contextual Integrity: Measuring the Collapse of Online Contexts [0.0]
  我々はプライバシの理論をコンテキスト統合として運用し、Webコンテキスト内およびWebコンテキスト間の永続的なユーザ識別を測定する。 健康、金融、ニュース&メディア、LGBTQ、eコマース、アダルト、教育のWebサイトなど、トップ700のWebサイトを27日間クロールする。 これは、Webプライバシをコンテキスト統合(Contextual Integrity)として測定する第一歩であり、コンテキストWebプライバシ調査のための新たな道を開くものだ。
  論文  参考訳（メタデータ） (2024-12-19T23:30:29Z)
• From Blocking to Breaking: Evaluating the Impact of Adblockers on Web Usability [14.498659516878718]
  自動ツールを用いて,ライブサイト上での広告ブロックによるWeb破壊の程度を評価することを目的としている。 この研究は、Webの破壊をリアルタイムで測定する際の課題と限界についても概説している。
  論文  参考訳（メタデータ） (2024-10-30T23:25:07Z)
• Secure Aggregation is Not Private Against Membership Inference Attacks [66.59892736942953]
  フェデレーション学習におけるSecAggのプライバシーへの影響について検討する。 SecAggは、単一のトレーニングラウンドであっても、メンバシップ推論攻撃に対して弱いプライバシを提供します。 以上の結果から,ノイズ注入などの付加的なプライバシー強化機構の必要性が浮き彫りになった。
  論文  参考訳（メタデータ） (2024-03-26T15:07:58Z)
• Exposing and Addressing Security Vulnerabilities in Browser Text Input Fields [22.717150034358948]
  ウェブブラウザにおけるテキスト入力フィールドのセキュリティに関する総合的な分析を行う。 ブラウザの粗粒度パーミッションモデルが2つのセキュリティ設計原則に違反していることが分かりました。 入力フィールドに2つの脆弱性を発見した。
  論文  参考訳（メタデータ） (2023-08-30T21:02:48Z)
• DRSM: De-Randomized Smoothing on Malware Classifier Providing Certified Robustness [58.23214712926585]
  我々は,マルウェア検出領域の非ランダム化スムース化技術を再設計し,DRSM(De-Randomized Smoothed MalConv)を開発した。 具体的には,実行可能ファイルの局所構造を最大に保ちながら,逆数バイトの影響を確実に抑制するウィンドウアブレーション方式を提案する。 私たちは、マルウェア実行ファイルの静的検出という領域で、認証された堅牢性を提供する最初の人です。
  論文  参考訳（メタデータ） (2023-03-20T17:25:22Z)
• SPAct: Self-supervised Privacy Preservation for Action Recognition [73.79886509500409]
  アクション認識におけるプライバシー漏洩を緩和するための既存のアプローチは、ビデオデータセットのアクションラベルとともに、プライバシラベルを必要とする。 自己教師付き学習(SSL)の最近の進歩は、未ラベルデータの未発見の可能性を解き放ちつつある。 本稿では、プライバシーラベルを必要とせず、自己管理的な方法で、入力ビデオからプライバシー情報を除去する新しいトレーニングフレームワークを提案する。
  論文  参考訳（メタデータ） (2022-03-29T02:56:40Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。