211service.com
Web Security Tool kopiert Apps-Bewegungen
Heutzutage ist es für Entwickler einfach, vollwertige Anwendungen zu erstellen, die im Browser ausgeführt werden. Diese Anwendungen vor Hackern zu schützen, ist eine andere Sache.

Sicher gehen : Microsoft-Forscher haben Ripley verwendet, um mehrere Webanwendungen, einschließlich Spiele, zu sichern.
Vor diesem Hintergrund haben Wissenschaftler von Microsoft Research einen neuen Weg zur Sicherung komplexer Webanwendungen vorgestellt, indem sie den Browser des Benutzers effektiv klonen und ihn aus der Ferne ausführen.
Viele der neuesten Webanwendungen teilen ihren ausführbaren Code zwischen dem Server und dem Client auf. Das Problem besteht darin, zu erkennen, ob der auf dem Heim-PC des Benutzers ausgeführte Code in irgendeiner Weise kompromittiert wurde. Die neue Microsoft-Lösung, bekannt als Ripley, wurde am Dienstag bei der Association for Computing Machinery . vorgestellt Konferenz für Computer- und Kommunikationssicherheit in Chicago.
Ripley geht weiter als bisherige Bemühungen, die Integrität von Webanwendungen zu sichern. Es bringt den Integritätsschutz auf das logische Extrem, sagt Adam Barth , ein Forscher an der University of California, Berkeley, der sich auf die Sicherheit von Webanwendungen spezialisiert hat. Er war an dem Projekt nicht beteiligt. Anstatt nur zu überprüfen, ob eine Anfrage von der richtigen Website stammt, überprüft Ripley, ob die Aktionen des Benutzers tatsächlich von der Benutzeroberfläche der Anwendung zugelassen werden.
Ripley verhindert, dass ein böswilliger Benutzer oder entfernter Hacker das Verhalten des Codes ändert, der in einem Webbrowser ausgeführt wird, indem eine exakte Kopie der Computerumgebung erstellt und diese Kopie auf dem Server ausgeführt wird. Ripley sendet dann alle Aktionen des Benutzers, einschließlich Mausklicks, Tastenanschläge und alle anderen Eingaben, in einem komprimierten Ereignisstrom vom Client an den Server. Dieser Stream wird durch die geklonte Clientanwendung auf dem Server ausgeführt und das Verhalten dieses virtuellen Doppelgängers wird mit dem der Anwendung verglichen, die zu Hause im Browser des Benutzers ausgeführt wird. Bei Unstimmigkeiten trennt Ripley den Client.
Man kann nichts vertrauen, was im Client passiert, sagt Ben Livshits , dem leitenden Forscher bei Microsoft Research am Ripley-Projekt. Es ist im Grunde der Teufel im Browser aus Entwicklersicht.
Ripley ist für den Endbenutzer unsichtbar und beeinträchtigt die normale Funktion einer Webanwendung nicht. Es sind nur die bösartigen Kerle, die sich Sorgen machen müssen, was passiert, wenn sie ein Ergebnis abgeben, sagt Livshits.
Eine der Herausforderungen, die Livshits und sein Mitarbeiter bei Microsoft, Emre Kiciman Beim Erstellen von Ripley stand die Frage, wie man eine Kopie der gesamten Client-Umgebung – der Webanwendung und der Software-Engine, die sie ausführt – erstellt, die klein genug war, um für einen Webserver mit hohem Volumen geeignet zu sein, der Anfragen von Hunderten oder Tausenden von Benutzern verarbeitete Einmal.
Auf dem Server, sagte Livshits, würde man, wenn man die Replik in einem Browser ausführen müsse, einen Speicherbedarf von 50 bis 60 Megabyte pro Browserinstanz anfallen. Die von ihm und Kiciman entwickelte Lösung bestand darin, stattdessen einen kopflosen Browser auszuführen – einen Emulator, der nur die für Ripley wesentlichen Funktionen eines Webbrowsers simuliert. Dadurch wurde der Speicherbedarf des geklonten Browsers und der Anwendung auf ein bis eineinhalb Megabyte pro Anwendung reduziert.
Durch die Verkleinerung des serverseitigen Klons der browserbasierten Anwendung des Benutzers reduzierten Livshits und Kiciman – zusammen mit Kollegen von der Cornell University, NY und dem Indian Institute of Technology, Delhi – den Performance-Overhead von Ripley weiter. Von fünf experimentellen Anwendungen, zu denen ein Einkaufswagen, mehrere Spiele und eine Blogging-Engine gehörten, betrug der durchschnittliche Anstieg der Latenz aufgrund der erhöhten Anstrengung der Server-CPU etwa eine Millisekunde.
In einigen Fällen hat Ripley sogar die Leistung von Webanwendungen verbessert, da der serverseitige Klon der Clientanwendung in .NET umgeschrieben wird, einer Programmiersprache, die 10 bis 100 Mal schneller ist als das auf der Clientseite ausgeführte JavaScript. Dies ermöglicht es Ripley manchmal, die nächste clientseitige Anwendungsanforderung vorherzusagen, noch bevor sie vom Client gestellt wurde, und Daten präventiv an den Client zu übertragen.
Das ist eine magische Situation, wenn man darüber nachdenkt, sagt Livshits. Dies führt zu fernen Prozeduraufrufen mit null Latenz.
Derzeit müssen Entwickler, die Ripley zur Sicherung ihrer Webanwendungen verwenden möchten, die Ideen aus dem auf Ripley vorgestellten Papier in ihrem eigenen bevorzugten Webanwendungs-Framework neu implementieren. Letztendlich glauben Livshits und Kiciman jedoch, dass Ripley dazu beitragen könnte, einen wesentlichen Teil der Sicherheit von Webanwendungen zu demokratisieren und ihn für nicht erfahrene Entwickler zugänglich zu machen.
Ich glaube, bis jetzt haben die Leute diese Probleme manuell angegangen, sagt Kiciman. Sie erhalten Experten, die eintauchen und ihre Anwendungen auf diese Herausforderungen zuschneiden, aber das ist nicht sehr skalierbar und nicht sehr agil, wenn Sie Änderungen vornehmen müssen. Wir versuchen, die Webentwicklungsplattform so weit zu bringen, dass jeder die Art von Technologie nutzen kann, die diese Experten verwenden.
Barth von der UC Berkeley stellt fest, dass Ripley Teil eines größeren Trends bei Lösungen ist, die die Integrität von clientseitigem Code schützen, indem sichergestellt wird, dass kein unbefugtes Verhalten auftreten kann. Ich sehe Ripley eher als Gedankenexperiment: Was würde passieren, wenn der Server alles validiert? er sagt. Die Arbeit legt nahe, dass die Sicherheit von Vorteil wäre, wenn wir mehr validieren würden, als wir heute validieren.