【Chromium中文文档】Web安全研究

保护浏览器不受扩展的缺陷影响

保护浏览器不受扩展的缺陷影响

Adam Barth, Adrienne Porter Felt, Prateek Saxena, and Aaron Boodman

EECS Department. University of California, Berkeley. Technical Report No. UCB/EECS-2009-185

摘要

浏览器扩展非常流行,三分之一的Firefox用户运行至少一个扩展。尽管出于好意,扩展的开发者通常不是安全专家,并且会写有bug的代码,而这可能被网站操作者利用。在Firefox扩展系统中,这种利用很危险,因为扩展运行时拥有用户的完全权限,可以读写任意文件,启动新的进程。在这篇文章里,我们分析了25个最受欢迎的火狐扩展,并且发现这些扩展中的88%不需要完整的可用权限。另外,我们发现这些扩展中的76%不必要地使用了功能强大的api,使得降低他们的权限变得困难。我们提出一个新的浏览器扩展系统,通过使用最少的权限,权限分割,强解耦,提高安全性。我们的系统限制了一个攻击者通过扩展的缺陷所能做到的罪行。我们的设计被Google Chrome扩展系统接受。

这篇文章的一个扩展版本可以在Proc. of the 17th Network and Distributed System Security Symposium (NDSS 2010)看到。

更多Berkeley web安全研究>>

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏bboysoul

在自己的网站上嵌入挖矿脚本

说实在的使用谷歌广告赚钱真的是太慢了,一个网站我苦心经营那么长时间得到的回报是0,这就有点过分了,不过最近网页使用js挖矿很流行,我们为什么不使用这个来得到点回...

19510
来自专栏友弟技术工作室

EOS.IO 技术白皮书背景区块链应用的要求共识算法 (DPOS)帐户应用程序的确定性并行执行Token 模型与资源使用治理脚本 & 虚拟机跨链通信总结

草案:2017 年 6 月 26 日 (@dayzh (https://steemit.com/@dayzh))

12420
来自专栏区块链

选择私人区块链技术:Hyperledger Composer

欢迎参加“选择私人区块链技术”系列的第二部分(第1部分在这里)。在每篇文章中,我们都会实现一个简单的用例来概述现有技术的作用以及它如何在企业中发挥作用。

76750
来自专栏区块链大本营

超级账本Fabric的架构与设计

541130
来自专栏醒者呆

区块链3.0:拥抱EOS

EOS是当下最火的区块链技术,被社会广泛看好为下一代区块链3.0。不同于以太坊的学习,EOS的主语言是C++,本文作为EOS研究的首篇文章,重点介绍EOS的创...

1.4K120
来自专栏FreeBuf

Paypal出现漏洞,可获取账户余额和近期交易数据

PayPal的bug允许通过逐一列举的方式获取付款方式的最后四位数字以及披露任何给定PayPal账户的账户余额和近期交易数据。 ? 介绍 这篇文章详细介绍了一个...

30040
来自专栏架构师之路

1分钟了解区块链的本质

区块链,比特币这些概念最近都很火,但很多人搞不清楚它究竟是啥,准备从技术的角度,从架构的角度,用通俗的语言谈谈楼主的理解。 究竟啥是区块链? 答:一句话,区块链...

528160
来自专栏极客编程

以太坊预言机与智能合约开发

什么是以太坊预言机?智能合约就其性质而言,能够运行各种算法并可以存储和查询数据。预言机可以监控区块链事件并能将监控结果发回智能合约。因为每个节点每次都需要大量计...

14830
来自专栏Netkiller

Hyperledger Fabric 超级账本的硬伤

中国广东省深圳市龙华新区民治街道溪山美地 518131 +86 13113668890 <netkiller@msn.com>

987290
来自专栏一场梦

看片要当心了,不良网站不只掏空你,还可能掏空你的电脑!

17940

扫码关注云+社区

领取腾讯云代金券