| Popis: |
Splet je postal nepredstavljiv brez tehnologij, kot je JavaScript. Več kot 94% spletnih strani vsebuje dinamično vsebino, ki ima vedno več zmožnosti na odjemalcih. Spletne strani so postale interaktivna zmes, ki vsebuje zunanje knjižnice, gradnike z oglasi in uporabniško vsebino ter so prikazane v brskalnikih, ki imajo prav tako nameščene dodatke iz zunanjih virov. Vsi ti zunanji viri lahko predstavljajo vstopno točko za poljubno potencialno zlonamerno vsebino, ki lahko spremeni delovanje spletne strani ali jo zlorabi podatke na njej. V magistrskem delu bodo raziskani obstoječi pristopi za doseganje večje varnosti pri razvoju spletne vsebine oziroma programske kode za odjemalce. Na podlagi ugotovitev iz obstoječih ukrepov in pregleda pogostih funkcionalnosti, ki jih zlorabljajo XSS napadi bo pripravljena knjižnica za okrepitev zaupnosti, integritete in razpoložljivosti (t.i. CIA triada) občutljivih funkcij okolja spletne aplikacije. Knjižnica bo temeljila na objektno zmožnostnem modelu in bo nadaljevanje idej nekaterih obstoječih rešitev. Knjižnica bo prilagodila okolje v katerem se izvaja vsebina, zato bodo izvedeni testi, ki bodo preverili vpliv na delovanje posameznih zaščitenih funkcij. World Wide Web has become unimaginable without technologies such as JavaScript. More than 94% of web sites use dynamic content, which has increasingly powerful capabilities on clients. Web pages have become mashup of third party libraries, widgets with ads and user generated content that executes in browsers with enabled third party extensions. All those external dependencies are potential entry point for unwanted and malicious code, which can alter page functionalities or abuse sensitive content. In this master thesis we will analyse existing functionalities and approaches to increase security of web pages. Based on the outcomes and the overview of the most abused functions by the XSS attacks we will construct a program library. Purpose of the library will be to enhance security, integrity and availability of the sensitive functions within execution environment of the web content. The Design will be based on the object-capabilities model and will manifest proposed ideas by similar approaches. Since the library will modify execution environment, all modified functions will be tested for execution overhead. |
