Artikel-Filter
CES
MEDICA
Akkreditieren Sie sich hier zu den kommenden PREVIEWs

Browser-Plugin für mehr Internet-Sicherheit

Beweisbare Sicherheit - für Chrome bereits verfügbar

TU Wien - Man kennt das von vielen Internet-Seiten: Um bestimmte Funktionen nutzen zu können, muss man sich anmelden, aber es ist mühsam, für jede einzelne Seite einen eigenen Account anzulegen. Daher ist es praktisch, wenn man sich über seinen Facebook- oder Google-Account authentifizieren kann. Doch das bedeutet, dass Daten von Facebook oder Google direkt an den Betreiber der jeweiligen Webseite weitergegeben werden – und dadurch können Risiken entstehen.

An der TU Wien hat man diese Authentifikations-Prozesse genau untersucht. Entwickelt wurde nun ein Browser-Plugin, das diese Sicherheitslücken schließt, und zwar auf absolut rigorose Weise: Nach den Gesetzen der Logik lässt sich beweisen, dass es unmöglich ist, das Browser-Plugin zu überlisten. Eine erste Version kann bereits probeweise installiert werden, derzeit laufen Gespräche mit Webbrowser-Herstellern, um das Plugin in Zukunft in Browser einzubauen.

Login über Facebook oder Google

„Sich im Internet mit Hilfe von Social Media Accounts irgendwo einzuloggen, ist ganz alltäglich geworden“, sagt Prof. Matteo Maffei vom Institut für Logic and Computation der TU Wien. „Man kann sich etwa über den Facebook-Account bei Instagram anmelden, oder auf verschiedenen Online-Foren von Blogs oder Online-Magazinen.“ Dabei erhält die jeweilige Webseite, auf der man sich einloggen möchte, Daten direkt von Facebook oder Google. Allerdings ist dabei nicht klar zu sehen, welche Programme auf dieser Webseite noch laufen und eventuell gefährliche Aktionen setzen.

Möglich ist etwa, dass die Social-Media-Zugangsdaten, mit denen man sich authentifiziert, verbotenerweise verwendet werden, um zusätzliche Information abzusaugen. „Das attackierende Programm kann dann auf persönliche Daten zugreifen, Listen von Freunden abfragen oder sogar herausfinden, welche Seiten ich besucht habe. Im schlimmsten Fall kann es sogar meinen Social-Media-Account übernehmen“, erklärt Matteo Maffei.

Sicherheit, die sich beweisen lässt

Mit seinem Team entwickelte Matteo Maffei nun eine Extension, die als Barriere zwischen bösartigen Scripts und dem Browser auftritt. „Von Facebook kommt beim Authentifizieren ein Code zurück, mit dem man sich dann auf der Webseite des Drittanbieters einloggt“, erklärt Maffei. „Unser Plugin ersetzt diesen Code mit einem zufällig generierten Ersatzcode. Der echte Code wird nur für die Kommunikation mit Facebook verwendet, während Scripts auf anderen Webseiten nur den Ersatzcode sehen. Die Browser-Extension ist der Datenübermittler dazwischen. Dadurch wird es unmöglich, dass bösartige Scripts unerlaubterweise Daten mit Facebook austauschen.“

Doch nicht nur das – vom Plugin wird der gesamte Datentransfer in den Browser und aus dem Browser überwacht. „Die Authentifizierungs-Protokolle sind genau definiert. Wir wissen also genau, welche Information in welcher Reihenfolge zwischen Browser und Webseite ausgetauscht werden muss“, erklärt Matteo Maffei. „Wenn sich die Webseite nicht daran hält, wenn etwa ein bestimmter Schritt in der Authentifizierungs-Sequenz angefragt wird, ohne dass die vorhergehenden Schritte erledigt wurden, dann handelt es sich um eine regelwidrige Aktion, die gefährlich sein kann.“

Auf diese Weise ist es gelungen, für logisch rigorose Sicherheit zu sorgen: Der Datenaustausch zwischen Browser und Webseite wird so überwacht, dass es nach den Regeln der Logik nicht möglich ist, das Plugin zu überlisten – das lässt sich mathematisch beweisen.

Auf Konferenz präsentiert

Für diese Idee wurde Matteo Maffei im Vorjahr mit einem ERC-Grant ausgezeichnet, das Plugin ist nun der erste große Erfolg seines ERC-Projekts. „Bereits jetzt kann das Plugin für den Chrome-Browser heruntergeladen und installiert werden. Wir sind aber noch dabei, es weiter zu verbessern. Und wir sind bereits im Gespräch mit namhaften Browser-Herstellern, die unsere Idee direkt in die Browser einbauen wollen.“

Das Plugin garantiert nicht nur die Sicherheit besser als bisherige Schutzmechanismen, es ist außerdem auch extrem sparsam gebaut. Das Laden von Webseiten wird durch das Plugin nicht merklich verlangsamt. Öffentlich vorgestellt wurde das neue Plugin nun am 17. August in Baltimore auf dem 27 Usenix Security Symposium, der wichtigsten System-Security-Konferenz der Welt.

Das Plugin steht zum Download bereit unter:

sites.google.com/site/wpseproject/

PREVIEW onlinePressekontakt
Technische Universität Wien
Institut für Logic and Computation
Prof. Matteo Maffei
Favoritenstraße 9-11
1040 Wien

Tel: +43-1-58801-184860
eMail: matteo.maffei@tuwien.ac.at



Download

Bei vielen Webseiten kann man sich mit verschiedenen Social-Media-Profilen anmelden.
Quelle: TU Wien
Download

Prof. Matteo Maffei vom Institut für Logic and Computation der TU Wien
Quelle: TU Wien / Jan Gott
ANZEIGE
ANZEIGE


AR und KI erobern Shopping-Welt

RommAR hebt Kauferlebnis auf neues Level
- PREVIEW online - Wer Möbel online kauft, rätselt oft, wie sich der neue Stuhl oder das Sofa in der Wohnung wohl machen. Die perfekte Lösung auf dieses Problem bietet die Software „RoomAR“ „Es geht hier um ...



Digitale Gesellschaft - Open Knowledge

Ringvorlesung für jedermann
- In einer vernetzten, digitalen Gesellschaft ist ein freier und unbeschränkter Zugang zu Wissen und Information zu jeder Zeit an jedem Ort möglich geworden. Die Forderung nach Offenheit – Openness ist in ...



Erstmals UHD im Kabel-Free-TV

Telekom erweitert Senderangebot
DTAG - Mit „Insight TV UHD“ nimmt die Telekom als erster Kabelnetzbetreiber in Deutschland einen frei empfangbaren UHD-Sender in ihr Portfolio auf. Das Programm bietet Action und Extremsport, Abenteuer ...



Noch exotisch: Exoskelette – Revolution für Handwerker

Komfortable Überkopfarbeit mit Paexo von Ottobock
Ottobock - Der Mangel an Fachkräften in Kombination mit einer alternden Belegschaft stellt das Bauhandwerk vor zunehmende Herausforderungen. Speziell die Arbeit über Kopf ist in vielen Gewerken eine große ...



Hackerangriff auf die Baustelle ?

Trend Micro deckt Schwachstellen in Funkteuerungen auf
Trend Micro - Ein neuer Forschungsbericht von Trend Micro Research deckt gravierende Sicherheitslücken bei industriellen Maschinen auf. Anlagen wie Kräne, die mittels Funkfernsteuerungen bedient werden, sind vor ...



Smarte Hörmann-Schnelllauftore - Premiere auf der BAU

SmartControl: Die IoT-Lösung live am Messestand
Deutsche Telekom - Die Hörmann KG feiert eine Premiere auf der BAU 2019: Mit Hörmann SmartControl zeigt der Anbieter von Türen und Toren für den Einsatz in gewerblich genutzten Immobilien eine marktfertige IoT-Lösung ...



Messe BAU präsentiert die „Lange Nacht der Architektur“

Münchner Bauwerke im nächtlichen Flair
Messe München - Die Lange Nacht der Architektur (LNDA) feiert Jubiläum. Bereits zum fünften Mal führt die Veranstaltung im Rahmen der Weltleitmesse BAU am Freitag, den 18. Januar 2019, zu den schönsten ...



Pilotphase satellitengestützten Regenmachers ein Erfolg

BayWa startet weltweite Markteinführung
BayWa - Nach dem erfolgreichen Abschluss einer zweijährigen Pilotphase im afrikanischen Sambia startet die BayWa AG nun die weltweite Markteinführung ihrer satellitengestützten Bewässerungslösung ...



ANZEIGE
Presse-Mitteilungen   RSS-Feed
ANZEIGE
About
PREVIEW online ist ein multimediales News-Portal für technisch Interessierte.
Ohne langes Suchen und Site-hopping finden Sie hier gewünschte Informationen. Mit einem Blick sehen Sie auf PREVIEW online sofort, welche Medien zu den jeweiligen Themen vorhanden sind. Eine optimale Kombination aus Kategorien, Schlagwort- und Volltextsuche erleichtert Ihnen das Finden gewünschter Informationen erheblich. Wenn Sie Wichtiges über Themen, Unternehmen, News, die Sie interessieren, nicht verpassen möchten, abonnieren Sie sich unseren NEWS-Allert.
Alle Infos sind nur 1 Klick entfernt - das ist PREVIEW online.
IMPRESSUM / DATENSCHUTZ