張逸文 P ROTECTING B ROWSERS FROM E XTENSION V ULNERABILITIES NDSS 2010 Adam Barth, University of California, Berkeley Adrienne Porter Felt, University of.

Slides:



Advertisements
Similar presentations
齊來學中文 Let’s Learn Chinese 英國中文學校聯會出版 Published by the UK Federation of Chinese Schools.
Advertisements

Chrome Extentions Vulnerabilities. Introduction Google Chrome Browser Chrome OS Platform Chrome Web Store Applications Open Source Platform.
HTML5 Haptics Standardization
Italian C++ Community Chromium as a framework Raffaele Intorcia Tiziano Cappellari.
An Evaluation of the Google Chrome Extension Security Architecture
活動時間: 99 年 05 月 07 號 ( 五 ) 上午 9.20~12.10 活動地點:校本部科技大樓 4 樓 3401 E 化教學教室 電子系 - 光電實驗室 即時實驗現場互動.
指導教授:應鳴雄 老師 組長: B 鄧光宏 組員: B 莊禮仲 B 陳品諺 B 林于迪 古弗瑞德交友網站系統 中華大學資訊管理學系九十九學年專題報告 1.
國立臺北科技大學進修部推廣教 育中心 生活美語會話 課程 英語課程說明 陳韻如 Melody.  課程目的:學生能夠使用簡單的英文以及在 一般英文會話中能夠自然應對並啟發學習英文 興趣  培養學生的聽、說、讀、寫基本能力,且琢 磨於文法、句型、字彙上的練習及應用使學生 透過老師的帶領,進行文化的體驗、發音的矯.
遊戲規則 問題總共有五題,如果淑宜答對超過三題,就可 以得到一張 smile 貼紙當作獎勵。 Question: Halloween 的中文是什麼呢 ? Answer: 萬聖節 =Halloween 在每年的 10 月 31 日,是西方世界的傳統節日。
The Most Dangerous Code in the Browser Stefan Heule, Devon Rifkin, Alejandro Russo, Deian Stefan Stanford University, Chalmers University of Technology.
Security implications in RFID and authentication processing framework John Ayoade* Security Advancement Group, National Institute of Information and Communications.
國立中央大學. 資訊管理系 范錚強 mailto: IT Infrastructure Assuring Reliable Services 5.
DYNAMIC CAPABILITIES: WHAT ARE THEY? 指導老師:戴敏育 淡江資管碩一:陳柏帆 淡江資管碩一:詹益璋 2011/04/01.
報告大綱 1 專題題目介紹 2 『喲』 『喀漫』 『佈閣』 Comic Book ‧動機 ◆ 3C 多媒應用電子產品的普及 ◆ 網路應用層面與『人』結合 ◆ 改善純文字網誌的內容 ◆ 增加知識的吸收速率 視覺 > 聽覺 > 文字 ‧動機 ◆ 3C 多媒應用電子產品的普及 ◆ 網路應用層面與『人』結合.
請問 : 科技融入教學再你的心目中只是一 個不同於其他教學法的選擇 (optional choice) ? 或是一個必要的需要 (demanding needs)?
Fall 與 1 的數位世界 1. Fall 與 1 的數位世界 2 資訊化服務  提供快捷的服務:強大的計算能力、快速的網 路傳遞。  提供便利與便宜的商業服務:跨越地域限制, 輕易的貨比十家;降低空間與人力成本。  提供多元化的服務:新聞、血拼、聊天、數位 圖書館、網路電話.
1 Introduction to Java Programming Lecture 4 Using JOptionPane Spring 2008.
From: BOOKS ONLINE 1 Safari Tech Books Online Safari Business Books Online 電子書資料庫.
A problem in IMS Learning Design To promote interoperability, few services Local tool frameworks like LAMS have much richer tool environment –Easy provisioning.
電腦優化 黃柏漢 羅元富 黃得瑋.
EBooks 使用手冊. eBook Features 每本書可同時 6 人閱讀 每本書閱讀時間為 2 小時 全文閱讀器為 DX Reader ( 不需下載安裝 ) 提供個人化功能: Highlights ( 畫重點 ) Annotations ( 加註解 ) Bookmark ( 書籤 ) Research.
自動機 (Automata) Time: 1:10~2:00 Monday: practice exercise, quiz 2:10~4:00 Wednesday: lecture Textbook: (new!) An Introduction to Formal Languages and Automata,
North Point Government Primary PM School 北角官立下午小學 應用 ‘ 基本能力學生評估 ’ 及 ‘ 網上學與教支援系統 ’ 經驗分享.
1 Advanced Topics. 2 Processor 基本運作方式 Instruction fetch Decode Execution Write Back.
記 敘 文記 敘 文 閱讀技巧 ( 四 ). 記 敘 文記 敘 文 要素:  時、地、人、事、因、果 特色:  敘述人物的經驗或事物發展的過程  文體結構:開端、發展、高潮、結局 例子: 樂在詞中《哈利龍龍系列之四 -- 出國風波 》 故事全文,請參考以下網站內容
Multi - Language 鄭傑仁 陳彥如. Preface 大三下時,經由系上安排進入一間製作 IP phone 的公司實 習,公司所生產的 IP phone 提供很廣泛的設定 ( 例如 : 韌體 資訊、網路設定、 SIP 設定、語音設定等 ) ,為了方便使用 者設定或查詢這些選項,話機本身都內建了.
資料結構實習-二.
網路介紹及其運用 講師陳炯勳. 5-2 IP 協定 ( 一 ) IP 協定運作 (1) – 網路成員:主機 (Host) 與路由器 (Router) – 路由表 – 電報傳輸運作.
課程:學位教師文憑課程 年 度 課程:學位教師文憑課程 年 度 科目: DEP5114B/G 常識科 ( 副修科 ) 科目: DEP5114B/G 常識科 ( 副修科 ) 導師:香港中文大學教育學院 麥思源教授 導師:香港中文大學教育學院 麥思源教授 學生:鄭家駒.
多媒體概論課程講義 多媒體概論 講師 :Meimei 全球資訊網工具. 大綱 網站伺服器 1 網頁瀏覽器 2 網頁製作者和網站建置者 3 外掛程式和發佈工具 4 HTML 以外 5.
1 Linux 新勢力 企管系 / 何錦堂 p.2 Linux 之源起 1991 年,芬蘭赫爾辛基大學大學生 Linus Torvalds ( 現年 33 歲 ) 發起一項 source code 運動 Linux = Linus kernel + Unix.
第12章 團體溝通情境中的領導者.
卷二之一 記錄過程,展現成果. 2 上完這段課程,你將學會 為什麼要上這段課程。 製作簡易網頁 (Homepage) 。 製作 PowerPoint 投影片。 投影片製作的觀念與技巧。 如何有效的呈現你的作品。 把作品上網。
網頁環境介紹. Outline Hardware/software Preparation Web 程式寫在哪 ? 其他基礎概念.
質數 (Prime) 相關問題 Introducer: Hsing-Yen Ann Date: 2009/05/13.
Frame isolation and the same origin policy Collin Jackson CS 142 Winter 2009.
A METHODOLOGY FOR EMPIRICAL ANALYSIS OF PERMISSION-BASED SECURITY MODELS AND ITS APPLICATION TO ANDROID.
Architecture Of ASP.NET. What is ASP?  Server-side scripting technology.  Files containing HTML and scripting code.  Access via HTTP requests.  Scripting.
Fall, Privacy&Security - Virginia Tech – Computer Science Click to edit Master title style Design Extensions to Google+ CS6204 Privacy and Security.
A New High Speed, Low Power Adder; Using Hybrid Analog-Digital Circuit Taherinejad, N.; Abrishamifar, A.; Circuit Theory and Design, ECCTD 2009.
JSProxy: Safety from Javascript Benjamin Prosnitz, Tang Yi, Yinzhi Cao.
Web Page Design Week 6. Mozilla Thimble Mozilla Webmaker 提供的 Tools 之一 線上 HTML 編輯器 有一些範例 Projects 可以參考學習或直接使用 可以直接發佈製作好的網頁.
Gaurav Aggarwal and Elie Bursztein, Collin Jackson, Dan Boneh, USENIX (Aug.,2010) A N A NALYSIS OF P RIVATE B ROWSING M ODES IN M ODERN B ROWSERS 1.
Microsoft Robotics Developer Studio. Before we start MSRDS installed ? OK with Bluetooth? Slides:
Protecting Browsers from Extension Vulnerabilities (NDSS 2010) Adam Barth, Adrienne Porter Felt, Prateek Saxena University of California, Berkeley {abarth,
講者:許永昌 老師 1. Contents Review of Ch1 Preview of Ch2 Action Exercises (Gotten from R.D. Knight, Instructor Guide) Homework 2.
行銷學原理‧曾光華、饒怡雲 著‧前程文化 出版
Web Automation Testing With Selenium By Rajesh Kanade.
SMash : Secure Component Model for Cross- Domain Mashups on Unmodified Browsers WWW 2008 Frederik De Keukelaere et al. Presenter : SJ Park.
Database Systems: Design, Implementation, and Management Eighth Edition Chapter 14 Database Connectivity and Web Technologies.
Copyright © cs-tutorial.com. Overview Introduction Architecture Implementation Evaluation.
很久以前,有個孤兒叫小雪,她很喜歡畫畫,可是她很窮 沒有錢買筆 。. 有一天晚上,小雪夢見一位老奶奶送給她一枝又大又長的 毛筆。
Web mining:a survey in the fuzzy framework
組員: 張世謙 林原瑭 黃郁翔.  Introduction  Design approach  Optimization Approaches  Conclusion and future directions
M. Alexander Helen J. Wang Yunxin Liu Microsoft Research 1 Presented by Zhaoliang Duan.
Ajax for Dynamic Web Development Gregory McChesney.
Protecting Browsers from Extension Vulnerabilities Paper by: Adam Barth, Adrienne Porter Felt, Prateek Saxena at University of California, Berkeley and.
Plug-in Architectures Presented by Truc Nguyen. What’s a plug-in? “a type of program that tightly integrates with a larger application to add a special.
1 Isolating Web Programs in Modern Browser Architectures CS6204: Cloud Environment Spring 2011.
Java Just-In-Time Compiler in hand-held system 指導教授 單智君老師 指導教授 單智君老師 李政仲 張淳恩 王信安.
Easy Teaching Tasks/Activities for EFL Low Achievers Joe Yi-ming Lee Taipei Municipal Zhongzheng Senior High School.
Web Programming Overview. Introduction HTML is limited - it cannot manipulate data How Web pages are extended (include): –Java: an object-oriented programming.
AJAX Asynchronous JavaScript and XML. AJAX introduction  Ajax applications, look and act more like desktop applications. ex. writelywritely Ajax applications.
! !美洲華語 李雅莉老師製作 TextVocabularyusageStoryChallenge $100 $200 $300 $400 $500 $600 $100 $200 $300 $400 $500 $600 $100 $200 $300 $400 $500 $600 $100 $200.
2016/3/201 UNIX 系統安裝 (Desktop vs Server)
組員: B 黃聖凱 B 陳禮增.  Advanced Encryption Package( 以下簡稱 AEP) 是由 InterCrypto Ltd 所製作的檔案加密程式。  目前只能在 windows 上運行。  AEP PRO 要價 $49.95 元。
第二課 井底之蛙 故事: 「故」事「今」說
An XML/XSL Infrastructure for Temporal Management of Web Documents
Dot Net Core Peter Cheung
Protecting Browsers from Extension Vulnerabilities
Presentation transcript:

張逸文 P ROTECTING B ROWSERS FROM E XTENSION V ULNERABILITIES NDSS 2010 Adam Barth, University of California, Berkeley Adrienne Porter Felt, University of California, Berkeley Prateek Saxena, University of California, Berkeley Aaron Boodman, Google,Inc.

O UTLINE  Introduction  Firefox Extension System  Google Chrome Extension System  Performance  Conclusion 2

O UTLINE  Introduction  Extensions  Benign-but-buggy Extensions  Firefox Extension System  Google Chrome Extension System  Performance  Conclusion 3

I NTRODUCTION  1/3 of Firefox users run at least 1 extension  Extend, modify and control browser behavior  Provide rich functionality and add features  Browser extensions differ from browser plug-ins  Extensions -- 使用瀏覽器的擴充介面,用來加 強或增加瀏覽器功能的小程式  Plug-ins -- 使用 Netscape 提供的 NPAPI 為介面, 提供跨瀏覽器協力支援的程式。 4

I NTRODUCTION  Benign-but-buggy extensions  Extensions aren’t written by security experts  Extensions interact extensively with web sites  Firefox extensions run with the browser’s full privileges  An attacker can usurp the extension’s broad privileges 5

I NTRODUCTION  Attacking Example  R. S. Liverani and N. Freeman, “Abusing Firefox Extensions”, Defcon17, July 2009  install a remote desktop server on the user’s machine 6

O UTLINE  Introduction  Firefox Extension System  Attacks on Extensions  Limiting Firefox Extension Privileges  Google Chrome Extension System  Performance  Conclusion 7

F IREFOX E XTENSION S YSTEM  Attacks on Extensions 1. Cross-site Scripting 2. Replacing Native APIs 3. JavaScript Capability Leaks 4. Mixed Content  Firefox extensions  High privilege  Rich interaction with distrusted web content 8

F IREFOX E XTENSION S YSTEM  Limiting Firefox Extension Privileges ??  Review 25 Firefox extensions from the 13 categories  Behavior: How much privilege does an extension need?  Implementation: How much privilege does an extension receive? 9

F IREFOX E XTENSION S YSTEM  Firefox Security Severity Ratings: Firefox Security Severity Ratings  Critical  High  Medium  Low  None 10

F IREFOX E XTENSION S YSTEM  Result  Only 3 need critical privileges  The other 22 extensions exhibit a privilege gap 11

F IREFOX E XTENSION S YSTEM  Use the same interfaces 12

F IREFOX E XTENSION S YSTEM 13

O UTLINE  Introduction  Firefox Extension System  Google Chrome Extension System  Least privilege  Privilege separation  Strong isolation  Performance  Conclusion 14

G OOGLE C HROME E XTENSION S YSTEM  Least privilege  Explicitly requested in the extension’s manifest  Developers define privileges in manifest  Execute Arbitrary Code  Web Site Access  API Access 15

G OOGLE C HROME E XTENSION S YSTEM 16

G OOGLE C HROME E XTENSION S YSTEM  Privilege separation 17

G OOGLE C HROME E XTENSION S YSTEM  Isolation Mechanisms  Extension identity -- a public key in the extension’s URL  Process Isolation -- run in different processes  Isolated Worlds -- own JavaScript objects 18

G OOGLE C HROME E XTENSION S YSTEM 19

O UTLINE  Introduction  Firefox Extension System  Google Chrome Extension System  Performance  Conclusion 20

PERFORMANCE  Inter-component communication  Round-trip latency between content script & extension core: 0.8 ms  Isolated Worlds Mechanism  Add 33.3% overhead Add 33.3% overhead 21

O UTLINE  Introduction  Firefox Extension System  Google Chrome Extension System  Performance  Conclusion 22

CONCLUSION  Firefox extension system  Extensions are over-privileged  API needs to be tamed for least privilege  New extension system for Google Chrome  Developer encouraged to request few privileges  Extensions have a reduced attack surface 23

動動腦 ~ 一日,私塾裡大家都在讀經 … 只有家家東張西望 老師問家家 : 妳為什麼不念呢 ? 24 因為家家有本難念的經