Embedding of Security Components in Untrusted Third-Party Websites

Résumé : Certaines librairies critiques pour la sécurité, par exemple pour l'authentification unique (single sign-on), nécéssitent d'être chargées dans des sites tiers non sûrs. Nous montrons comment le manque d'isolation entre ces librairies et leur page hôte les rendent vulnérables aux scripts tiers qui partagent le même environnement, y compris pour des services très largements utilisés. Les mécanismes de sécurité des navigateurs sont impuissants face à ces attaques car elles interviennent en dessous de la granularité des politiques de sécurité, fixée par origine (protocole, nom de domaine et numéro de port). Afin de mitiger ces attaques, nous proposons de combiner une isolation fine de ces librairies au niveau du langage avec des protections cryptographiques. À cette fin, nous introduisons DJS, un fragment de JavaScript qui protège l'intégrité de l'exécution d'un script dans un environnement JavaScript hostile. Nous nous appuyons sur un système de types inférables et sur un ensemble de librairies (elles-même bien typées) pour implémenter des solutions génériques aux attaques que nous avons découvertes. Nous vérifions la validité de ces schémas à l'aide d'une traduction d'un sous-ensemble de DJS vers le pi-calcul appliqué contre différent types d'attaques.
Type de document :
Rapport
[Research Report] RR-8285, INRIA. 2013, pp.32
Domaine :
Liste complète des métadonnées

Littérature citée [31 références]  Voir  Masquer  Télécharger

https://hal.inria.fr/hal-00815800
Contributeur : Antoine Delignat-Lavaud <>
Soumis le : vendredi 19 avril 2013 - 13:37:23
Dernière modification le : samedi 17 septembre 2016 - 01:36:41
Document(s) archivé(s) le : samedi 20 juillet 2013 - 04:02:24

Fichier

tech.pdf
Fichiers produits par l'(les) auteur(s)

Identifiants

  • HAL Id : hal-00815800, version 1

Collections

Citation

Antoine Delignat-Lavaud, Karthikeyan Bhargavan, Sergio Maffeis. Embedding of Security Components in Untrusted Third-Party Websites. [Research Report] RR-8285, INRIA. 2013, pp.32. 〈hal-00815800〉

Partager

Métriques

Consultations de la notice

328

Téléchargements de fichiers

885