論文の概要: Passwords and FIDO2 Are Meant To Be Secret: A Practical Secure Authentication Channel for Web Browsers

• arxiv url: http://arxiv.org/abs/2509.02289v1
• Date: Tue, 02 Sep 2025 13:09:26 GMT
• ステータス: 翻訳完了
• システム内更新日: 2025-09-04 15:17:04.036261
• Title: Passwords and FIDO2 Are Meant To Be Secret: A Practical Secure Authentication Channel for Web Browsers
• Title（参考訳）: パスワードとFIDO2は秘密:Webブラウザの安全な認証チャネル
• Authors: Anuj Gautam, Tarun Yadav, Garrett Smith, Kent Seamons, Scott Ruoti,
• Abstract要約: 悪質なクライアントサイドスクリプトやブラウザ拡張機能は、パスワードマネージャがそれらをWebページにオートフィルした後、パスワードを盗むことができる。 われわれはFirefoxブラウザに設計を実装し、XSS攻撃や悪意ある拡張からパスワードを保護できることを実証する実験を行った。 次に、設計を一般化し、FIDO2プロトコルに対する最近発見されたローカルアタックを防ぐ第2のディフェンスを作成します。
• 参考スコア（独自算出の注目度）: 3.3317711401366163
• License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
• Abstract: Password managers provide significant security benefits to users. However, malicious client-side scripts and browser extensions can steal passwords after the manager has autofilled them into the web page. In this paper, we extend prior work by Stock and Johns, showing how password autofill can be hardened to prevent these local attacks. We implement our design in the Firefox browser and conduct experiments demonstrating that our defense successfully protects passwords from XSS attacks and malicious extensions. We also show that our implementation is compatible with 97% of the Alexa top 1000 websites. Next, we generalize our design, creating a second defense that prevents recently discovered local attacks against the FIDO2 protocols. We implement this second defense into Firefox, demonstrating that it protects the FIDO2 protocol against XSS attacks and malicious extensions. This defense is compatible with all websites, though it does require a small change (2-3 lines) to web servers implementing FIDO2.
• Abstract（参考訳）: パスワードマネージャは、ユーザに対して重大なセキュリティ上のメリットを提供します。 しかし、悪意のあるクライアントサイドスクリプトやブラウザ拡張機能は、管理者がそれらをWebページにオートフィルした後、パスワードを盗むことができる。 本稿では、StockとJohnsによる先行研究を拡張し、これらのローカル攻撃を防ぐためにパスワードオートフィルをどのように強化するかを示す。 われわれはFirefoxブラウザに設計を実装し、XSS攻撃や悪意ある拡張からパスワードを保護できることを実証する実験を行った。 また、私たちの実装はAlexaのトップ1000Webサイトの97%と互換性があることも示しています。 次に、設計を一般化し、FIDO2プロトコルに対する最近発見されたローカルアタックを防ぐ第2のディフェンスを作成します。 XSS攻撃や悪意のある拡張に対してFIDO2プロトコルを保護していることを示す。 この防御はすべてのWebサイトと互換性があるが、FIDO2を実装するWebサーバに小さな変更(2～3行)を必要とする。

関連論文リスト

• Defending Against Prompt Injection With a Few DefensiveTokens [44.221727642687085]
  大規模言語モデル(LLM)システムは複雑なタスクを実行するために外部データと相互作用する。 システムによってアクセスされたデータに命令を注入することにより、攻撃者は攻撃者が指示する任意のタスクで初期ユーザタスクをオーバーライドすることができる。 システム開発者がフレキシブルな方法で必要な場合にのみセキュリティを確保するためには、例えば防御プロンプトのようなテストタイムディフェンスが提案されている。 トレーニング時の代替に匹敵するプロンプトインジェクションを備えたテストタイムディフェンスであるDefensiveTokenを提案する。
  論文  参考訳（メタデータ） (2025-07-10T17:51:05Z)
• User Profiles: The Achilles' Heel of Web Browsers [12.5263811476743]
  Tor Browserを除いて、現代のすべてのブラウザは、機密データをほとんど、あるいは全く、完全性や機密性を管理することなく、ホームディレクトリに格納している。 パスワードやクッキーの暗号化といったセキュリティ対策は、簡単にバイパスできることを示す。 HTTPSは、カスタムの潜在的に悪意のあるルート証明書をデプロイすることで、完全にバイパスすることができる。
  論文  参考訳（メタデータ） (2025-04-24T16:01:48Z)
• MELON: Provable Defense Against Indirect Prompt Injection Attacks in AI Agents [60.30753230776882]
  LLMエージェントは間接的プロンプトインジェクション(IPI)攻撃に対して脆弱であり、ツール検索情報に埋め込まれた悪意のあるタスクはエージェントをリダイレクトして不正なアクションを取ることができる。 マスク機能によって修正されたマスク付きユーザでエージェントの軌道を再実行することで攻撃を検知する新しいIPIディフェンスであるMELONを提案する。
  論文  参考訳（メタデータ） (2025-02-07T18:57:49Z)
• Simple But Not Secure: An Empirical Security Analysis of Two-factor Authentication Systems [9.046883991816571]
  2FAシステムの脆弱性を検出するための脆弱性評価フレームワークSE2FAを提案する。 我々はTranco Top 10,000リストから407の2FAシステムのセキュリティを分析した。
  論文  参考訳（メタデータ） (2024-11-18T13:08:56Z)
• Stealing Trust: Unraveling Blind Message Attacks in Web3 Authentication [6.338839764436795]
  本稿では,Web3認証プロセスの脆弱性を調査し,ブラインドメッセージ攻撃と呼ばれる新たなタイプの攻撃を提案する。 盲目的のメッセージ攻撃では、攻撃者はユーザーがメッセージのソースを検証できないことを利用して、ターゲットアプリケーションから盲目的にメッセージに署名するようユーザを騙します。 我々は,Web3認証関連APIと対話して脆弱性を特定する動的検出ツールであるWeb3AuthCheckerを開発した。
  論文  参考訳（メタデータ） (2024-06-01T18:19:47Z)
• Nudging Users to Change Breached Passwords Using the Protection Motivation Theory [58.87688846800743]
  我々は保護動機理論(PMT)に基づいて、侵入したパスワードの変更を促すナッジを設計する。 本研究は, PMTのセキュリティ研究への応用に寄与し, 漏洩したクレデンシャル通知を改善するための具体的な設計上の意味を提供する。
  論文  参考訳（メタデータ） (2024-05-24T07:51:15Z)
• Passwords Are Meant to Be Secret: A Practical Secure Password Entry Channel for Web Browsers [7.049738935364298]
  悪質なクライアントサイドスクリプトとブラウザ拡張機能は、マネージャによってWebページにオートフィルされた後、パスワードを盗むことができる。 本稿では,パスワードマネージャがユーザ動作の変更を必要とせず,自動記入証明書の盗難を防止する上でどのような役割を果たせるかを検討する。
  論文  参考訳（メタデータ） (2024-02-09T03:21:14Z)
• TextGuard: Provable Defense against Backdoor Attacks on Text Classification [83.94014844485291]
  テキスト分類に対するバックドア攻撃に対する最初の証明可能な防御であるTextGuardを提案する。 特にTextGuardは、(バックドアされた)トレーニングデータをサブトレーニングセットに分割し、各トレーニング文をサブ文に分割する。 本評価では,3つのベンチマークテキスト分類タスクにおけるTextGuardの有効性を示す。
  論文  参考訳（メタデータ） (2023-11-19T04:42:16Z)
• Exposing and Addressing Security Vulnerabilities in Browser Text Input Fields [22.717150034358948]
  ウェブブラウザにおけるテキスト入力フィールドのセキュリティに関する総合的な分析を行う。 ブラウザの粗粒度パーミッションモデルが2つのセキュリティ設計原則に違反していることが分かりました。 入力フィールドに2つの脆弱性を発見した。
  論文  参考訳（メタデータ） (2023-08-30T21:02:48Z)
• On Certifying Robustness against Backdoor Attacks via Randomized Smoothing [74.79764677396773]
  ランダム化平滑化法(ランダム化平滑化)と呼ばれる最近の手法を用いて,バックドア攻撃に対するロバスト性検証の有効性と有効性を検討した。 本研究は, バックドア攻撃に対するロバスト性を証明するために, ランダムな平滑化を用いた理論的実現可能性を示すものである。 既存の無作為な平滑化手法は、バックドア攻撃に対する防御効果に限界がある。
  論文  参考訳（メタデータ） (2020-02-26T19:15:46Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。