【Chromium中文文档】Web安全研究

保护浏览器不受扩展的缺陷影响

保护浏览器不受扩展的缺陷影响

Adam Barth, Adrienne Porter Felt, Prateek Saxena, and Aaron Boodman

EECS Department. University of California, Berkeley. Technical Report No. UCB/EECS-2009-185

摘要

浏览器扩展非常流行,三分之一的Firefox用户运行至少一个扩展。尽管出于好意,扩展的开发者通常不是安全专家,并且会写有bug的代码,而这可能被网站操作者利用。在Firefox扩展系统中,这种利用很危险,因为扩展运行时拥有用户的完全权限,可以读写任意文件,启动新的进程。在这篇文章里,我们分析了25个最受欢迎的火狐扩展,并且发现这些扩展中的88%不需要完整的可用权限。另外,我们发现这些扩展中的76%不必要地使用了功能强大的api,使得降低他们的权限变得困难。我们提出一个新的浏览器扩展系统,通过使用最少的权限,权限分割,强解耦,提高安全性。我们的系统限制了一个攻击者通过扩展的缺陷所能做到的罪行。我们的设计被Google Chrome扩展系统接受。

这篇文章的一个扩展版本可以在Proc. of the 17th Network and Distributed System Security Symposium (NDSS 2010)看到。

更多Berkeley web安全研究>>

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏恰同学骚年

微信小程序开发初探

  (1)一切以用户价值为依归→用户是微信的核心,所以微信中没有很多与客户无关的功能,比如QQ中的乱七八糟一系列东西。

1453
来自专栏Jerry的SAP技术分享

CRM product UI里assignment block的显示隐藏逻辑

我们在product overview page里能看到很多的assignment block。但是runtime的时候真正显示出来的内容只是configura...

2806
来自专栏FreeBuf

VirtualApp技术黑产利用研究报告

一、 前言 VirtualApp(以下称VA)是一个App虚拟化引擎(简称VA)。VirtualApp创建了一个虚拟空间,你可以在虚拟空间内任意的安装、启动和卸...

1968
来自专栏phodal

我是如何Hack掉一个机器人!

在Hack Day这样的伟大节日里,还是应该做一点Hack的事。很久没有干过这么刺激的事,想想也觉得有点小激动。 Blabla,当然这个Robot可能没有你想的...

19810
来自专栏小狼的世界

RSS的相关知识

rss是RDF Site Summary 的缩写(RDF是Resource Description Framework的缩写 ),是指将网站摘要用xml语言描述...

933
来自专栏QQ会员技术团队的专栏

Android新一代多渠道打包神器

关于作者: 李涛,腾讯Android工程师,14年加入腾讯SNG增值产品部,期间主要负责手Q动漫、企鹅电竞等项目的功能开发和技术优化。业务时间喜欢折腾新技术,写...

2569
来自专栏雨过天晴

初窥dep

2588
来自专栏数据库

游戏用户中心开发

用户中心最主要的功能就是管理用户的注册和登陆,登陆成功之后生成对应的token,并负责token的验证。当一个用户注册或登陆成功之后,它的信息会在用户中心服务中...

1878
来自专栏程序员宝库

记一次基于 mpvue 的小程序开发及上线实战

经过为期两个晚上下班时间的努力,终于把我第一个小程序开发完成并发布上线了。整个过程还算顺利,由于使用了 mpvue方案进行开发,故可以享受和 vue一致的流畅开...

1046
来自专栏Jerry的SAP技术分享

SAP标准培训课程C4C10学习笔记(二)第二单元

SAP Hybrid Project implementation methodology – A conglomeration of ASAP and Lau...

602

扫码关注云+社区