Forum für Wissenschaft, Industrie und Wirtschaft

Hauptsponsoren:     3M 
Datenbankrecherche:

 

Browser-Plugin für mehr Internet-Sicherheit

21.08.2018

Wer sich auf bestimmten Webseiten über Facebook- oder Google-Accounts authentifiziert, handelt gefährlich. Eine Browser-Extension der TU Wien behebt dieses Problem.

Man kennt das von vielen Internet-Seiten: Um bestimmte Funktionen nutzen zu können, muss man sich anmelden, aber es ist mühsam, für jede einzelne Seite einen eigenen Account anzulegen. Daher ist es praktisch, wenn man sich über seinen Facebook- oder Google-Account authentifizieren kann. Doch das bedeutet, dass Daten von Facebook oder Google direkt an den Betreiber der jeweiligen Webseite weitergegeben werden – und dadurch können Risiken entstehen.


Bei vielen Webseiten kann man sich mit verschiedenen Social-Media-Profilen anmelden

TU Wien

An der TU Wien hat man diese Authentifikations-Prozesse genau untersucht. Entwickelt wurde nun ein Browser-Plugin, das diese Sicherheitslücken schließt, und zwar auf absolut rigorose Weise: Nach den Gesetzen der Logik lässt sich beweisen, dass es unmöglich ist, das Browser-Plugin zu überlisten. Eine erste Version kann bereits probeweise installiert werden, derzeit laufen Gespräche mit Webbrowser-Herstellern, um das Plugin in Zukunft in Browser einzubauen.

Login über Facebook oder Google

„Sich im Internet mit Hilfe von Social Media Accounts irgendwo einzuloggen, ist ganz alltäglich geworden“, sagt Prof. Matteo Maffei vom Institut für Logic and Computation der TU Wien. „Man kann sich etwa über den Facebook-Account bei Instagram anmelden, oder auf verschiedenen Online-Foren von Blogs oder Online-Magazinen.“ Dabei erhält die jeweilige Webseite, auf der man sich einloggen möchte, Daten direkt von Facebook oder Google. Allerdings ist dabei nicht klar zu sehen, welche Programme auf dieser Webseite noch laufen und eventuell gefährliche Aktionen setzen.

Möglich ist etwa, dass die Social-Media-Zugangsdaten, mit denen man sich authentifiziert, verbotenerweise verwendet werden, um zusätzliche Information abzusaugen. „Das attackierende Programm kann dann auf persönliche Daten zugreifen, Listen von Freunden abfragen oder sogar herausfinden, welche Seiten ich besucht habe. Im schlimmsten Fall kann es sogar meinen Social-Media-Account übernehmen“, erklärt Matteo Maffei.

Sicherheit, die sich beweisen lässt

Mit seinem Team entwickelte Matteo Maffei nun eine Extension, die als Barriere zwischen bösartigen Scripts und dem Browser auftritt. „Von Facebook kommt beim Authentifizieren ein Code zurück, mit dem man sich dann auf der Webseite des Drittanbieters einloggt“, erklärt Maffei.

„Unser Plugin ersetzt diesen Code mit einem zufällig generierten Ersatzcode. Der echte Code wird nur für die Kommunikation mit Facebook verwendet, während Scripts auf anderen Webseiten nur den Ersatzcode sehen. Die Browser-Extension ist der Datenübermittler dazwischen. Dadurch wird es unmöglich, dass bösartige Scripts unerlaubterweise Daten mit Facebook austauschen.“

Doch nicht nur das – vom Plugin wird der gesamte Datentransfer in den Browser und aus dem Browser überwacht. „Die Authentifizierungs-Protokolle sind genau definiert. Wir wissen also genau, welche Information in welcher Reihenfolge zwischen Browser und Webseite ausgetauscht werden muss“, erklärt Matteo Maffei. „Wenn sich die Webseite nicht daran hält, wenn etwa ein bestimmter Schritt in der Authentifizierungs-Sequenz angefragt wird, ohne dass die vorhergehenden Schritte erledigt wurden, dann handelt es sich um eine regelwidrige Aktion, die gefährlich sein kann.“

Auf diese Weise ist es gelungen, für logisch rigorose Sicherheit zu sorgen: Der Datenaustausch zwischen Browser und Webseite wird so überwacht, dass es nach den Regeln der Logik nicht möglich ist, das Plugin zu überlisten – das lässt sich mathematisch beweisen.

Auf Konferenz präsentiert

Für diese Idee wurde Matteo Maffei im Vorjahr mit einem ERC-Grant ausgezeichnet, das Plugin ist nun der erste große Erfolg seines ERC-Projekts. „Bereits jetzt kann das Plugin für den Chrome-Browser heruntergeladen und installiert werden. Wir sind aber noch dabei, es weiter zu verbessern. Und wir sind bereits im Gespräch mit namhaften Browser-Herstellern, die unsere Idee direkt in die Browser einbauen wollen.“

Das Plugin garantiert nicht nur die Sicherheit besser als bisherige Schutzmechanismen, es ist außerdem auch extrem sparsam gebaut. Das Laden von Webseiten wird durch das Plugin nicht merklich verlangsamt. Öffentlich vorgestellt wurde das neue Plugin nun am 17. August in Baltimore auf dem 27 Usenix Security Symposium , der wichtigsten System-Security-Konferenz der Welt.

Wissenschaftliche Ansprechpartner:

Prof. Matteo Maffei
Institut für Logic and Computation
Technische Universität Wien
Favoritenstraße 9-11, 1040 Wien
T: +43-1-58801-184860
matteo.maffei@tuwien.ac.at

Originalpublikation:

https://www.usenix.org/conference/usenixsecurity18/presentation/calzavara

Dr. Florian Aigner | Technische Universität Wien
Weitere Informationen:
http://www.tuwien.ac.at

Weitere Berichte zu: Code Datentransfer Internet-Sicherheit Logik Plugin Sicherheit Social Media

Weitere Nachrichten aus der Kategorie Informationstechnologie:

nachricht Virtual Reality ohne Kopfschmerz oder Simulationsübelkeit
19.09.2018 | Fraunhofer-Institut für Organische Elektronik, Elektronenstrahl- und Plasmatechnik FEP

nachricht Lösungen für digitale Arbeitswelten
13.09.2018 | Fraunhofer-Institut für Arbeitswirtschaft und Organisation IAO

Alle Nachrichten aus der Kategorie: Informationstechnologie >>>

Die aktuellsten Pressemeldungen zum Suchbegriff Innovation >>>

Die letzten 5 Focus-News des innovations-reports im Überblick:

Im Focus: Der Truck der Zukunft

Lastkraftwagen (Lkw) sind für den Gütertransport auch in den kommenden Jahrzehnten unverzichtbar. Wissenschaftler und Wissenschaftlerinnen der Technischen Universität München (TUM) und ihre Partner haben ein Konzept für den Truck der Zukunft erarbeitet. Dazu zählen die europaweite Zulassung für Lang-Lkw, der Diesel-Hybrid-Antrieb und eine multifunktionale Fahrerkabine.

Laut der Prognose des Bundesministeriums für Verkehr und digitale Infrastruktur wird der Lkw-Güterverkehr bis 2030 im Vergleich zu 2010 um 39 Prozent steigen....

Im Focus: Extrem klein und schnell: Laser zündet heißes Plasma

Feuert man Lichtpulse aus einer extrem starken Laseranlage auf Materialproben, reißt das elektrische Feld des Lichts die Elektronen von den Atomkernen ab. Für Sekundenbruchteile entsteht ein Plasma. Dabei koppeln die Elektronen mit dem Laserlicht und erreichen beinahe Lichtgeschwindigkeit. Beim Herausfliegen aus der Materialprobe ziehen sie die Atomrümpfe (Ionen) hinter sich her. Um diesen komplexen Beschleunigungsprozess experimentell untersuchen zu können, haben Forscher aus dem Helmholtz-Zentrum Dresden-Rossendorf (HZDR) eine neuartige Diagnostik für innovative laserbasierte Teilchenbeschleuniger entwickelt. Ihre Ergebnisse erscheinen jetzt in der Fachzeitschrift „Physical Review X“.

„Unser Ziel ist ein ultrakompakter Beschleuniger für die Ionentherapie, also die Krebsbestrahlung mit geladenen Teilchen“, so der Physiker Dr. Thomas Kluge vom...

Im Focus: Bio-Kunststoffe nach Maß

Zusammenarbeit zwischen Chemikern aus Konstanz und Pennsylvania (USA) – gefördert im Programm „Internationale Spitzenforschung“ der Baden-Württemberg-Stiftung

Chemie kann manchmal eine Frage der richtigen Größe sein. Ein Beispiel hierfür sind Bio-Kunststoffe und die pflanzlichen Fettsäuren, aus denen sie hergestellt...

Im Focus: Patented nanostructure for solar cells: Rough optics, smooth surface

Thin-film solar cells made of crystalline silicon are inexpensive and achieve efficiencies of a good 14 percent. However, they could do even better if their shiny surfaces reflected less light. A team led by Prof. Christiane Becker from the Helmholtz-Zentrum Berlin (HZB) has now patented a sophisticated new solution to this problem.

"It is not enough simply to bring more light into the cell," says Christiane Becker. Such surface structures can even ultimately reduce the efficiency by...

Im Focus: Mit Nano-Lenkraketen Keime töten

Wo Antibiotika versagen, könnten künftig Nano-Lenkraketen helfen, multiresistente Erreger (MRE) zu bekämpfen: Dieser Idee gehen derzeit Wissenschaftler der Universität Duisburg-Essen (UDE) und der Medizinischen Hochschule Hannover nach. Zusammen mit einem führenden US-Experten tüfteln sie an millionstel Millimeter kleinen Lenkraketen, die antimikrobielles Silber zielsicher transportieren, um MRE vor Ort zur Strecke zu bringen.

In deutschen Krankenhäusern führen die MRE jährlich zu tausenden, teils lebensgefährlichen Komplikationen. Denn wer sich zum Beispiel nach einer Implantation...

Alle Focus-News des Innovations-reports >>>

Anzeige

Anzeige

VideoLinks
Industrie & Wirtschaft
Veranstaltungen

Internationale Experten der Orthopädietechnik tagen in Göttingen

19.09.2018 | Veranstaltungen

Von den Grundlagen bis zur Anwendung - Internationale Elektrochemie-Tagung in Ulm

18.09.2018 | Veranstaltungen

Unbemannte Flugsysteme für die Klimaforschung

18.09.2018 | Veranstaltungen

VideoLinks
Wissenschaft & Forschung
Weitere VideoLinks im Überblick >>>
 
Aktuelle Beiträge

Fester Platz im Unternehmen - 36 Auszubildende und Studierende der Friedhelm Loh Group erhalten Zeugnisse

19.09.2018 | Unternehmensmeldung

Virtual Reality ohne Kopfschmerz oder Simulationsübelkeit

19.09.2018 | Informationstechnologie

Kaiserslauterer Architekten setzen Holzkuppel dank Software einfach wie Puzzle zusammen

19.09.2018 | Architektur Bauwesen

Weitere B2B-VideoLinks
IHR
JOB & KARRIERE
SERVICE
im innovations-report
in Kooperation mit academics