論文の概要: Demystifying Progressive Web Application Permission Systems

• arxiv url: http://arxiv.org/abs/2509.13563v1
• Date: Tue, 16 Sep 2025 22:03:47 GMT
• ステータス: 翻訳完了
• システム内更新日: 2025-09-18 18:41:50.661867
• Title: Demystifying Progressive Web Application Permission Systems
• Title（参考訳）: プログレッシブWebアプリケーション許可システム
• Authors: Mengxiao Wang, Guofei Gu,
• Abstract要約: プログレッシブWebアプリケーション(PWA)は、オフラインアクセス、プッシュ通知、インストール性などの機能を提供するWebとネイティブアプリの利点を融合している。 彼らのパーミッション管理は、まだ定義が不十分で、プラットフォームやブラウザ間で不整合に実装されている。 我々の研究は、PWAの統一的で堅牢なパーミッションモデルの必要性を強調します。
• 参考スコア（独自算出の注目度）: 5.879181029987908
• License: http://creativecommons.org/licenses/by/4.0/
• Abstract: Progressive Web Applications (PWAs) blend the advantages of web and native apps, offering features like offline access, push notifications, and installability. Beyond these, modern PWAs are increasingly granted system-level capabilities such as auto-start on login and shared context with native applications. However, their permission management remains poorly defined and inconsistently implemented across platforms and browsers. To investigate these gaps, we developed Permissioner, a cross-platform analysis tool, and conducted a systematic study of PWA permissions. Our analysis uncovered critical issues of inconsistency, incompleteness, and unclear boundaries in permission enforcement, leading to various attacks including permission leakage, device identification, and Permission API abuse. We further examined why some browsers resist adopting more granular permission controls, identifying trade-offs involving usability, compatibility, and platform limitations. Through collaboration with browser vendors, several issues reported in our findings were acknowledged and resolved, notably by Firefox and Chrome. Our work highlights the urgent need for a unified, robust permission model for PWAs and provides actionable guidance toward achieving this goal.
• Abstract（参考訳）: プログレッシブWebアプリケーション(PWA)は、オフラインアクセス、プッシュ通知、インストール性などの機能を提供するWebとネイティブアプリの利点を融合している。 さらに、現代のPWAは、ログインの自動起動やネイティブアプリケーションとのコンテキスト共有といった、システムレベルの機能もますます認められています。 しかし、それらのパーミッション管理はいまだに定義されておらず、プラットフォームやブラウザ間で不整合に実装されている。 これらのギャップを調査するため,クロスプラットフォーム解析ツールPermissionerを開発し,PWAパーミッションの系統的研究を行った。 分析の結果,不整合性,不完全性,許可執行の未確定な境界が明らかとなり,パーミッションリーク,デバイス識別,パーミッションAPIの悪用など,さまざまな攻撃が生じた。 さらに、ユーザビリティ、互換性、プラットフォームの制限を含むトレードオフを識別し、より粒度の細かいパーミッションコントロールの採用に抵抗するブラウザがある理由についても検討した。 ブラウザベンダとのコラボレーションを通じて、私たちの発見で報告されたいくつかの問題は、特にFirefoxとChromeによって承認され、解決されました。 我々の研究は、PWAの統一的で堅牢なパーミッションモデルの必要性を強調し、この目標を達成するための実用的なガイダンスを提供する。

関連論文リスト

• Cross-Service Token: Finding Attacks in 5G Core Networks [58.86003502940164]
  5GコアSBIのセキュリティ欠陥を明らかにするために設計された文法ベースのファジリングフレームワークであるFivGeeFuzzを紹介する。 FivGeeFuzzを使って、Free5GCでこれまで知られていなかった8つの脆弱性を発見しました。
  論文  参考訳（メタデータ） (2025-09-10T20:40:33Z)
• Bridging the Mobile Trust Gap: A Zero Trust Framework for Consumer-Facing Applications [51.56484100374058]
  本稿では,信頼できないユーザ制御環境で動作するモバイルアプリケーションを対象としたZero Trustモデルを提案する。 デザインサイエンスの方法論を用いて、この研究は、実行時の信頼の強制をサポートする6つのピラーフレームワークを導入した。 提案したモデルは,デプロイ前コントロールを越えてモバイルアプリケーションをセキュアにするための,実用的で標準に準拠したアプローチを提供する。
  論文  参考訳（メタデータ） (2025-08-20T18:42:36Z)
• SPARE: Securing Progressive Web Applications Against Unauthorized Replications [1.1174586184779578]
  悪意のある開発者は、PWA Webリンクを重複させて偽造ネイティブアプリを作成することで、プログレッシブWebアプリケーションを利用することができる。 本稿では,このような攻撃を防御したり軽減したりするための,クエリパラメータに基づく実用的なセキュリティソリューションを提案する。
  論文  参考訳（メタデータ） (2025-08-09T17:40:13Z)
• Mind the Web: The Security of Web Use Agents [8.863542098424558]
  攻撃者は、悪意のあるコンテンツをWebページに埋め込むことで、Web利用エージェントの高特権能力を活用できることを示す。 本稿では,攻撃を明白にするのではなく,悪質なコマンドを有用なタスクガイダンスとして設定するタスクアラインインジェクション手法を提案する。 本稿では,監視機構,実行制約,タスク認識推論技術などを含む包括的緩和戦略を提案する。
  論文  参考訳（メタデータ） (2025-06-08T13:59:55Z)
• VPI-Bench: Visual Prompt Injection Attacks for Computer-Use Agents [74.6761188527948]
  完全なシステムアクセスを持つコンピュータ利用エージェント(CUA)は、セキュリティとプライバシの重大なリスクを負う。 我々は、悪意のある命令がレンダリングされたユーザーインターフェイスに視覚的に埋め込まれた視覚的プロンプトインジェクション(VPI)攻撃について検討する。 実験により,現在のCUAとBUAは,それぞれのプラットフォーム上で最大51%,100%の速度で騙すことができることがわかった。
  論文  参考訳（メタデータ） (2025-06-03T05:21:50Z)
• Browser Security Posture Analysis: A Client-Side Security Assessment Framework [0.0]
  本稿では、ブラウザ内で完全にJavaScriptとWebAssemblyで動作する、ブラウザベースのクライアント側セキュリティアセスメントツールキットを提案する。 ブラウザ内セキュリティテスト120以上のバッテリを実行し、セキュリティポリシとネットワークレベルやosレベルのツールが監視できない機能の詳細診断を提供する。 本稿では,ブラウザセキュリティとエンタープライズエンドポイントソリューションの関連作業と比較し,リアルタイム姿勢監視やSIEM統合といった今後の機能拡張について述べる。
  論文  参考訳（メタデータ） (2025-05-12T20:38:19Z)
• Towards Trustworthy GUI Agents: A Survey [64.6445117343499]
  本調査では,GUIエージェントの信頼性を5つの重要な次元で検証する。 敵攻撃に対する脆弱性、シーケンシャルな意思決定における障害モードのカスケードなど、大きな課題を特定します。 GUIエージェントが普及するにつれて、堅牢な安全基準と責任ある開発プラクティスを確立することが不可欠である。
  論文  参考訳（メタデータ） (2025-03-30T13:26:00Z)
• WAFFLED: Exploiting Parsing Discrepancies to Bypass Web Application Firewalls [4.051306574166042]
  Webアプリケーションファイアウォール(WAF)の運用は防御を損なう可能性がある。 我々は、相違点を明らかにすることによって、WAFをバイパスする革新的なアプローチを提案する。 我々は,5つの有名なWAFの1207バイパスを同定し,確認した。
  論文  参考訳（メタデータ） (2025-03-13T19:56:29Z)
• Dissecting Adversarial Robustness of Multimodal LM Agents [70.2077308846307]
  我々は、VisualWebArena上に現実的な脅威モデルを用いて、200の敵タスクと評価スクリプトを手動で作成する。 我々は,クロボックスフロンティアLMを用いた最新のエージェントを,リフレクションやツリーサーチを行うエージェントを含む,壊すことに成功している。 AREを使用して、新しいコンポーネントの追加に伴うロバスト性の変化を厳格に評価しています。
  論文  参考訳（メタデータ） (2024-06-18T17:32:48Z)
• Finding Vulnerabilities in Mobile Application APIs: A Modular Programmatic Approach [0.0]
  アプリケーションプログラミングインタフェース(API)は、さまざまなモバイルアプリケーションでデータを転送するのにますます人気になっている。 これらのAPIはエンドポイントを通じてセンシティブなユーザ情報を処理します。 本稿では,様々なモバイルAndroidアプリケーションの情報漏洩を分析するために,モジュール型エンドポイント脆弱性検出ツールを開発した。
  論文  参考訳（メタデータ） (2023-10-22T00:08:51Z)
• Not what you've signed up for: Compromising Real-World LLM-Integrated Applications with Indirect Prompt Injection [64.67495502772866]
  大規模言語モデル(LLM)は、様々なアプリケーションに統合されつつある。 本稿では、プロンプトインジェクション攻撃を用いて、攻撃者が元の命令をオーバーライドし、制御を採用する方法を示す。 我々は、コンピュータセキュリティの観点から、影響や脆弱性を体系的に調査する包括的な分類法を導出する。
  論文  参考訳（メタデータ） (2023-02-23T17:14:38Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。