Smidigt säkerhetssystem kan göra webben säkrare

Under en mjukvarukonferens i amerikanska Colorado lanseras just nu en förmodad säkerhetsrevolution på webben. Systemet COWL är designat av chalmersforskaren Alejandro Russo, i samarbete med forskare från Stanford University, Google, Mozilla och University College i London.

Det sätt vi använder internet på idag innebär att webbsidor, för att kunna erbjuda den funktionalitet som krävs, integrerar och kopplar samman delar från flera olika företag, organisationer och/eller oberoende webbutvecklare. Mängden komponenter och komplexiteten hos webbsidorna gör att det finns risk för att systemen läcker användares privata uppgifter – antingen av misstag, eller på grund av Javascript med skadlig kod som kan gömmas i till synes legitima webbsidor. Det räcker att besöka en webbsida för att aktivera skadlig kod som kan leda till att obehöriga får tillgång till dina privata uppgifter.

Under de senaste fyra åren har Alejandro Russo, Chalmers, och David Mazières, Stanford University, arbetat med att utveckla metoder för att skydda internetanvändares personliga information. Nu har de, i samarbete med forskare från Google, Mozilla och University College i London, byggt ett helt nytt system; "Confinement with Origin Web Labels", eller COWL. Systemet skyddar internetanvändares uppgifter, samtidigt som det tillåter webbapplikationer att på ett flexibelt sätt kombinera innehåll från flera olika parter. COWL erbjuder så kallad inkapsling, ett koncept som varit känt sedan 1970-talet, men som har visat sig vara svårt att implementera i praktiska system som webbläsare.

– Det som gör COWL unikt är dess minimalistiska design. Det är en naturlig förlängning av den befintliga webbsäkerhetsmodellen med tre centrala koncept, som gör det möjligt att bygga applikationer som skyddar användarnas personliga uppgifter, säger Alejandro Russo.

Enkelheten och den försumbara processoranvändningen hos COWL är viktiga egenskaper som gör systemet attraktivt för webbutvecklare. COWL är kompatibelt med Mozilla Firefox och open source-versionen av Google Chrome. Tester av COWL-prototyper på dessa webbläsare visar att systemet ger hög säkerhet utan att märkbart sänka laddningshastigheten. Efter dagens tillkännagivande kommer COWL att finnas tillgängligt för fri nedladdning på http://cowl.ws.

En beskrivning av COWL kommer att finnas i proceedings från "11th USENIX Symposium on Operating Systems Design and Implementation” (OSDI 2014), en av de främsta mötesplatserna för forskning inom operativsystem.

Detaljer om COWL
Stefan, D., Yang, E., Marchenko, P., Russo, A., Herman, D., Karp, B., och Mazières, D., Protecting Users by Confining JavaScript with COWL, to appear in the Proceedings of the 11th USENIX Symposium on Operating Systems Design and Implementation (OSDI 2014), Broomfield, CO, October, 2014.

Kontaktperson:

Alejandro Russo, docent, Chalmers, russo@chalmers.se