【Chromium中文文档】Web安全研究

保护浏览器不受扩展的缺陷影响

保护浏览器不受扩展的缺陷影响

Adam Barth, Adrienne Porter Felt, Prateek Saxena, and Aaron Boodman

EECS Department. University of California, Berkeley. Technical Report No. UCB/EECS-2009-185

摘要

浏览器扩展非常流行,三分之一的Firefox用户运行至少一个扩展。尽管出于好意,扩展的开发者通常不是安全专家,并且会写有bug的代码,而这可能被网站操作者利用。在Firefox扩展系统中,这种利用很危险,因为扩展运行时拥有用户的完全权限,可以读写任意文件,启动新的进程。在这篇文章里,我们分析了25个最受欢迎的火狐扩展,并且发现这些扩展中的88%不需要完整的可用权限。另外,我们发现这些扩展中的76%不必要地使用了功能强大的api,使得降低他们的权限变得困难。我们提出一个新的浏览器扩展系统,通过使用最少的权限,权限分割,强解耦,提高安全性。我们的系统限制了一个攻击者通过扩展的缺陷所能做到的罪行。我们的设计被Google Chrome扩展系统接受。

这篇文章的一个扩展版本可以在Proc. of the 17th Network and Distributed System Security Symposium (NDSS 2010)看到。

更多Berkeley web安全研究>>

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏西枫里博客

如何让网站打开变快?暨网站速度优化指南。

网站打开速度一向是网站运营者和SEO工作者关注的重要指标。百度在网站优化白皮书中也提到需要注重网站访问速度。2017年更是退出了针对移动端访问推出闪电算法(博文...

912
来自专栏顶级程序员

GitHub 上 9 月份最火的开源项目

今天我们将继续介绍 GitHub 上 9 月份最受欢迎的 11 个开源项目,在这些项目中,你有在用或用过哪些呢? 1 tensorflow https://g...

3614
来自专栏小狼的世界

Facebook的图片存储

为了减少对昂贵的存储解决方案(诸如NetApp和Akamai,我所在的单位用了一套NetApp,性能和稳定性都不错,价格当然也不菲),Facebook在2009...

1245
来自专栏Jerry的SAP技术分享

如何用代码的方式取出SAP C4C销售订单创建后所有业务伙伴的数据

比如我创建了一个Sales Order(销售订单)后,如何用代码的方式取出这些通过SAP Partner determination自动填充的Involved ...

902
来自专栏张善友的专栏

采访Philipp Crocoll:安卓平台上整合Java和C#

在这个采访中,我们跟开源开发者Philipp Crocoll讨论了关于Keepass2Android的相关话题。Keepass2Android不仅具有强大的密码...

2058
来自专栏腾讯移动品质中心TMQ的专栏

像 google 一样测试系列之三:方案选型篇

在测试代码放在什么位置上,及如何运行上, 经历了如下过程:最初模式与单测模式。但是组内希望与大组保持一致,即用 testng,提供一个界面点击后运行用例。同时是...

1161
来自专栏FreeBuf

iPhone碰上1970年变砖是什么梗?又该如何拯救?

继上个月的十二行代码分分钟让浏览器崩溃iPhone重启事件之后,近日又有网友爆出:如果把64位的iOS设备(iPhone、iPad、iPod touch)系统时...

17710
来自专栏WeTest质量开放平台团队的专栏

全面了解 Android 热修复技术

走马观花地看一遍各家的热修复方案并不能找到答案,所以写下本文,希望从一个不同的角度来了解热修复技术,权当抛砖引玉,如有不足,欢迎指正。

1723
来自专栏HBStream流媒体与音视频技术

DXGI快速截屏桌面直播技术

  很多地方都需要用到截屏/录屏技术,比如桌面直播,桌面录制等等。在微软Windows平台,有很多截屏的接口,不过大多数性能并不理想,Windows8以后微软引...

3526
来自专栏星汉技术

计算机基础(三)

1366

扫码关注云+社区