Web安全研究
全書地址
Chromium中文文檔 for https://www.chromium.org/developers/design-documents
持續更新ing,歡迎star
gitbook地址:https://ahangchen.gitbooks.io/chromium_doc_zh/content/zh//
github地址: https://github.com/ahangchen/Chromium_doc_zh
保護瀏覽器不受擴展的缺陷影響
Adam Barth, Adrienne Porter Felt, Prateek Saxena, and Aaron Boodman
EECS Department. University of California, Berkeley. Technical Report No. UCB/EECS-2009-185
摘要
瀏覽器擴展非常流行,三分之一的Firefox用戶運行至少一個擴展。儘管出於好意,擴展的開發者通常不是安全專家,並且會寫有bug的代碼,而這可能被網站操作者利用。在Firefox擴展系統中,這種利用很危險,因爲擴展運行時擁有用戶的完全權限,可以讀寫任意文件,啓動新的進程。在這篇文章裏,我們分析了25個最受歡迎的火狐擴展,並且發現這些擴展中的88%不需要完整的可用權限。另外,我們發現這些擴展中的76%不必要地使用了功能強大的api,使得降低他們的權限變得困難。我們提出一個新的瀏覽器擴展系統,通過使用最少的權限,權限分割,強解耦,提高安全性。我們的系統限制了一個攻擊者通過擴展的缺陷所能做到的罪行。我們的設計被Google Chrome擴展系統接受。
這篇文章的一個擴展版本可以在Proc. of the 17th Network and Distributed System Security Symposium (NDSS 2010)看到。