WebSec: Säkerhet i webb-drivna system
Forskningsprojekt, 2018 – 2023

Webben möjliggör den ständigt ökande digitaliseringen av dagens samhälle. Miljarder apparater är idag uppkopplade, från skrivare till Smarta TV-apparater och till och med bilar, och många tillverkas idag med både webbläsare och webbservrar installerade. Att det i dagsläget finns brister i säkerheten på webben är mycket tydligt i media, där man kan läsa om attacker på allt från banker och myndigheter till bilindustrin. Även företag som livnär sig endast på webben såsom Facebook och Google lider av dessa brister, vilket synliggörs av de stora mängder pengar de betalar för att dem hitta sårbarheter varje år. Endast under 2016 betalade Google ut 3 miljoner amerikanska dollar till forskare för upptäckta säkerhetshål i deras system. Projektet WebSec kommer att främja säkerheten på webben genom både teoretiska, akademiska framsteg samtidigt som man utvecklar konkreta verktyg tillsammans med flertalet partners från industrin. Projektet riktar sig mot tre kärnfrågor: 1. Principiellt skydd mot XSS. En av de vanligaste sårbarheterna på webben idag är så kallad Cross-Site Scripting (XSS). XSS innebär att angriparen får skadlig programkod att användas av offrets webbläsare, vilket gör XSS till bland de allvarligaste hoten mot webbsäkerhet. Projektet kommer utveckla nya koncept för att utforska och granska webbsidor, vilket kommer att göra att man kan ta sig an XSS på ett sätt som tidigare inte varit möjligt. 2. Säker JavaScript. Webbläsare programmeras oftast med hjälp av JavaScript, som idag är världens vanligast programmeringsspråk. WebSec kommer att skapa en plattform av analys av JavaScript-program. Analys av JavaScript är idag mycket rudimentär, men tack vare tidigare resultat inom projektgruppen kommer man tillsammans med WebSecs nya tekniker constraint solving-tekniker kunna analysera JavaScript-program till fullo. 3. System-övergripande säkerhet. Projektet WebSec kommer göra en övergripande översyn av webben och dess säkerhet. Webbservrar och webbläsare tekniskt åt på många sätt, och därför försöker många säkerställa webbläsare och servrar var för sig. Det är dock otillräckligt i många fall eftersom säkerhetshål oftast uppstår när man kopplar samman olika komponenter, som till exempel en server och en webbläsare. WebSec kommer istället att utveckla ett holistiskt ramverk, som gemensamt tar sig an både servrar och webbläsare.

Deltagare

Andrei Sabelfeld (kontakt)

Chalmers, Data- och informationsteknik, Informationssäkerhet

Alejandro Russo

Chalmers, Data- och informationsteknik, Informationssäkerhet

David Sands

Chalmers, Data- och informationsteknik, Informationssäkerhet

Samarbetspartners

Uppsala universitet

Uppsala, Sweden

Finansiering

Stiftelsen för Strategisk forskning (SSF)

Projekt-id: RIT17-0011
Finansierar Chalmers deltagande under 2018–2023

Relaterade styrkeområden och infrastruktur

Informations- och kommunikationsteknik

Styrkeområden

Grundläggande vetenskaper

Fundament

Publikationer

2024

Sensitivity by Parametricity

Artikel i vetenskaplig tidskrift

Mer information

Senast uppdaterat

2019-04-15