Browser-Erweiterung WPSE verspricht mehr Internet-Sicherheit

Forscher der Technischen Universität Wien und der Università Ca’ Foscari Venezia haben ein Plug-in entwickelt, das browserseitig die sichere Ausführung von Webprotokollen garantieren soll. Vorgestellt wurde WPSE erstmals auf dem 27. Usenix Security Symposium in Baltimore, einer Konferenz für Systemsicherheit.

Den Wissenschaftlern zufolge kann das Plug-in Webanwendungen vor einer Vielzahl von Webattacken und fehlerhaften Protokoll-Implementierungen schützen. Als konkrete Beispiele nennen sie Angriffe auf OAuth 2.0 und SAML 2.0. Darüber hinaus gelang es mit WPSE, bei einer experimentellen Überprüfung von Websites Sicherheitslücken in über 60 Prozent der Sites zu identifizieren. Darunter hätten sich neue kritische Schwachstellen befunden, die durch Tracking-Bibliotheken wie Facebook eingeführt wurden – alle behebbar durch WPSE.

Der an der Entwicklung beteiligte Informatiker Matteo Maffei vom Institut für Logic and Computation der TU Wien stellt vor allem den Schutz beim Einloggen mithilfe von Social Media Accounts heraus. “Sich im Internet mit Hilfe von Social Media Accounts irgendwo einzuloggen, ist ganz alltäglich geworden”, lässt er sich in einer Presseaussendung zitieren. “Man kann sich etwa über den Facebook-Account bei Instagram anmelden, oder auf verschiedenen Online-Foren von Blogs oder Online-Magazinen.”

Dabei erhalte die jeweilige Webseite, auf der man sich einloggen möchte, Daten direkt von Facebook oder Google. Nicht klar zu sehen sei dabei allerdings, welche Programme auf dieser Webseite noch laufen und eventuell gefährliche Aktionen anstoßen. So könnten die zur Authentifizierung eingesetzten Social-Media-Zugangsdaten etwa verbotenerweise genutzt werden, um zusätzliche Informationen abzusaugen: “Das attackierende Programm kann dann auf persönliche Daten zugreifen, Listen von Freunden abfragen oder sogar herausfinden, welche Seiten ich besucht habe. Im schlimmsten Fall kann es sogar meinen Social-Media-Account übernehmen.”

Die Browsererweiterung WPSE sieht Maffei als wirksame Barriere zwischen bösartigen Scripts und dem Browser. “Von Facebook kommt beim Authentifizieren ein Code zurück, mit dem man sich dann auf der Webseite des Drittanbieters einloggt”, erklärt er. “Unser Plug-in ersetzt diesen Code mit einem zufällig generierten Ersatzcode. Der echte Code wird nur für die Kommunikation mit Facebook verwendet, während Scripts auf anderen Webseiten nur den Ersatzcode sehen. Die Browser-Extension ist der Datenübermittler dazwischen. Dadurch wird es unmöglich, dass bösartige Scripts unerlaubterweise Daten mit Facebook austauschen.”

Darüber hinaus ist Aufgabe des Plug-ins, den gesamten Datentransfer in den Browser und aus dem Browser zu überwachen: “Die Authentifizierungs-Protokolle sind genau definiert. Wir wissen also genau, welche Information in welcher Reihenfolge zwischen Browser und Webseite ausgetauscht werden muss. Wenn sich die Webseite nicht daran hält, wenn etwa ein bestimmter Schritt in der Authentifizierungs-Sequenz angefragt wird, ohne dass die vorhergehenden Schritte erledigt wurden, dann handelt es sich um eine regelwidrige Aktion, die gefährlich sein kann.”

Eine erste Implementierung hat das Forscherteam als Erweiterung für Chrome durchgeführt, die jedoch noch nicht im Chrome Web Store verfügbar ist. Laut TU Wien laufen Gespräche mit Webbrowser-Herstellern, um das Plug-in in Zukunft im Browser einzubauen.

Ausgewähltes Whitepaper

Report: State of Digital Transformation EMEA 2019

Zu den größten Hürden der digitalen Transformation zählen der mobile Zugriff auf Unternehmensdaten und Anwendungen, die Nutzung unsicherer Netzwerke und nicht verwalteter Geräte. Das geht aus dem Report „State of Digital Transformation EMEA 2019“ von Zscaler hervor. Jetzt den vollständigen Report herunterladen!

Lesen Sie auch : Cisco meldet Hackerangriff
Anja Schmoll-Trautmann

Anja Schmoll-Trautmann berichtet seit 2001 vorrangig für ZDNet.de über aktuelle Entwicklungen im Bereich Consumer Electronics, Mobile und Peripherie. Seit 2012 beschäftigt sie sich auch für silicon.de immer wieder mit Business-Hardware, Digitalisierung und Markttrends.

Recent Posts

Cisco meldet Hackerangriff

Unbekannte dringen in das Netzwerk des Unternehmens ein. Zuvor hacken sie das Google-Konto eines Cisco-Mitarbeiters…

21 Minuten ago

Im Blindflug in Richtung Nachhaltigkeit

Eine Mehrheit der deutschen Unternehmen will klimaneutral werden. Aber wie? Für eine Antwort fehlen ihnen…

15 Stunden ago

Unternehmen unterschätzen Cyberrisiken durch vernetzte Partner und Lieferanten

Firmen stufen Sicherheitsrisiken ihrer Partner in digitalen Ökosystemen und Lieferketten als wenig besorgniserregend ein.

15 Stunden ago

Silicon DE im Fokus Podcast: Microsoft und der Mittelstand

Im Silicon DE Podcast erläutert Oliver Gürtler, Leiter des Mittelstandsgeschäfts bei Microsoft Deutschland, im Gespräch…

17 Stunden ago

Microsoft Edge erhält neue Sicherheitsfunktion für “unbekannte” Websites

Der Browser wendet beim Besuch bestimmter Websites automatisch strengere Sicherheitsregeln an. Nutzer müssen den erweiterten…

23 Stunden ago

August-Patchday: Microsoft schließt aktiv ausgenutzte Zero-Day-Lücke

Sie ist eigentlich schon seit Dezember 2019 bekannt. Eine weitere Zero-Day-Lücke wird bisher nicht aktiv…

1 Tag ago