Het University College in Londen, de Amerikaanse Stanford-universiteit, webreus Google, de Zweedse Chalmers-universiteit en Mozilla Research hebben een nieuw systeem ontwikkeld dat de privésfeer van webgebruikers zou beschermen, terwijl het ’t voor webontwikkelaars makkelijker maakt web toepassingen om informatie van meer webstekken te combineren. Daardoor zou de veiligheid op het wereldwijde web verbeterd worden, stellen de makers. Dit zogeheten COWL-systeem (‘cowl’ is een monnikskap en afko) werkt met de webrauzer Firefox van Mozilla en de open versie van Googles Chrome. Het systeem weert schadelijke code, terwijl het code toestaat op een webpagina inhoud van andere pagina’s in te voegen.
Met COWL zou de veiligheid groter worden terwijl het systeem niet meteen trager wordt. Vanaf 15 oktober zal COWL beschikbaar zijn. De ontwikkelaars van het systeem hopen dat het zal worden omarmd door webontwikkelaars. Nu kan schadelijke code nog worden verborgen in Javascripts van op het oog ordentelijke webpagina’s. Het is ook mogelijk dat die code door de webbeheerder in al zijn onschuld is overgenomen. Met behulp van die code zouden harde schijven kunnen worden bekeken en zelfs de hele computer kunnen worden overgenomen, zonder dat de gebruiker dat in de gaten heeft. Volgens mede-ontwikkelaar van COWL Brad Karp is de combinatie van veiligheid en grotere flexibiliteit voor de ontwikkelaars een van de grote uitdagingen in het veiligheidsonderzoek. “Het systeem kent een afscherming, die tot nu toe moeilijk was te realiseren in webprogramma’s. COWL schermt de scripts die lopen binnen het webprogramma af. Als een Javascript binnen het webprogramma informatie gebruikt van andere webpagina’s, dan staat COWL dat toe, maar verhindert vervolgens de toepassing die die informatie ontvangt die doorgeeft aan onbevoegde derden. De webstek die de gegevens deelt houdt zo de controle, zelfs na het delen van de informatie.” Er zijn eerder pogingen in het werk gesteld om kwaadaardige code een halt toe te roepen , zoals SOP (Same Origin Policy) en CORS (Cross-Origin Resource Sharing), maar die werken niet goed met de manier waarop tegenwoordig webpagina’s worden geschreven met de vele dwarsverbanden. Webontwikkelaars maken vaak gebruik van scripts van anderen. 59% van de 1 miljoen meest bezochte stekken en 77% van de top 10 000 doen dat. Dat is link. In dat geval beschermt SOP niet. Karp: “Door het blokkeren van webtoepassingen die gebruik maken van informatie van andere webstekken, dwingt SOP webontwikkelaars tot oplossingen die de privésfeer van de gebruiker in de waagschaal stellen. Dat probleem hebben we met COWL opgelost.”
Bron: Eurekalert