WebSec: Securing Web-driven Systems
- Reference number
- RIT17-0011
- Project leader
- Sabelfeld, Andrei
- Start and end dates
- 180301-241231
- Amount granted
- 30 000 000 SEK
- Administrative organization
- Chalmers University of Technology
- Research area
- Information, Communication and Systems Technology
Summary
Our society relies on the web to support the economic, governmental, and military infrastructure. Billions of devices from printers to smart TVs and cars routinely run web servers and clients, forming a heterogeneous Web of Things. Web security is thus critical for Cybersecurity and Information Security at large. The project WebSec: Securing Web-driven Systems sets out to develop a principled security platform for the web. WebSec is a unique opportunity to break away from temporary patches and short-term mitigations and tackle the challenge of web security at scale. WebSec will result in: -Comprehensive framework for detection, mitigation, and prevention of cross-site scripting (XSS) attacks, encompassing (i) Crawling 2.0 and advanced string constraint solving for XSS detection, (ii) flexible Content Security Policy (CSP) for XSS mitigation, and (iii) a server-side template framework separating data from code for XSS prevention. -JavaScript program analysis platform for monitoring and symbolically executing JavaScript, the web's main programming language. -Principled framework for system-wide security, enabling confinement, tainting, and information-flow control mechanisms across web component boundaries. -Industrial demonstrators FlowGuard: Secure integration and testing platform (with Assured AB), SecAppStore: Secure in-car app store architecture (with OmegaPoint AB and Volvo Car Corporation), and BrowSec: Security-enhanced browser platform (with Google).
Popular science description
Webben möjliggör den ständigt ökande digitaliseringen av dagens samhälle. Miljarder apparater är idag uppkopplade, från skrivare till Smarta TV-apparater och till och med bilar, och många tillverkas idag med både webbläsare och webbservrar installerade. Att det i dagsläget finns brister i säkerheten på webben är mycket tydligt i media, där man kan läsa om attacker på allt från banker och myndigheter till bilindustrin. Även företag som livnär sig endast på webben såsom Facebook och Google lider av dessa brister, vilket synliggörs av de stora mängder pengar de betalar för att dem hitta sårbarheter varje år. Endast under 2016 betalade Google ut 3 miljoner amerikanska dollar till forskare för upptäckta säkerhetshål i deras system. Projektet WebSec kommer att främja säkerheten på webben genom både teoretiska, akademiska framsteg samtidigt som man utvecklar konkreta verktyg tillsammans med flertalet partners från industrin. Projektet riktar sig mot tre kärnfrågor: 1. Principiellt skydd mot XSS. En av de vanligaste sårbarheterna på webben idag är så kallad Cross-Site Scripting (XSS). XSS innebär att angriparen får skadlig programkod att användas av offrets webbläsare, vilket gör XSS till bland de allvarligaste hoten mot webbsäkerhet. Projektet kommer utveckla nya koncept för att utforska och granska webbsidor, vilket kommer att göra att man kan ta sig an XSS på ett sätt som tidigare inte varit möjligt. 2. Säker JavaScript. Webbläsare programmeras oftast med hjälp av JavaScript, som idag är världens vanligast programmeringsspråk. WebSec kommer att skapa en plattform av analys av JavaScript-program. Analys av JavaScript är idag mycket rudimentär, men tack vare tidigare resultat inom projektgruppen kommer man tillsammans med WebSecs nya tekniker constraint solving-tekniker kunna analysera JavaScript-program till fullo. 3. System-övergripande säkerhet. Projektet WebSec kommer göra en övergripande översyn av webben och dess säkerhet. Webbservrar och webbläsare tekniskt åt på många sätt, och därför försöker många säkerställa webbläsare och servrar var för sig. Det är dock otillräckligt i många fall eftersom säkerhetshål oftast uppstår när man kopplar samman olika komponenter, som till exempel en server och en webbläsare. WebSec kommer istället att utveckla ett holistiskt ramverk, som gemensamt tar sig an både servrar och webbläsare.