Browsing by Author "Jokimies, Tuomo"

Ajax- ja HTML5-teknologiat ovat synnyttäneet uusia asiakaspuolen teknologioita, kuten AngularJS-sovelluskehys. AngularJS-sovelluskehys mahdollistaa siirtymisen Ajax-teknologialla rikastetuista yksittäisistä sivuista kokonaan Ajax-pohjaisiin web-asiakassovelluksiin, jolloin koko käyttöliittymälogiikka voidaan siirtää palvelimelta selaimen ajettavaksi. Web-asiakassovellukset ja niiden käyttämät kommunikaatiokanavat ovat alttiita haavoittuvuuksille ja tietoturvauhille. Näitä ovat salakuuntelu, mies välissä -hyökkäykset, verkkosivun rakennetta muuttavat välityshyökkäykset, sivustojen välinen pyyntöhuijaus, ulkopuolisten komponenttien käytön aiheuttamat uhat ja klikkauskaappaukset. Web-asiakassovelluksia vastaan kohdistuvien tietoturvauhkien torjumiseksi on kehitetty uusia tietoturvamekanismeja verkon ja HTTP-protokollan eri tasoille. Näitä ovat HTTP-yhteyskäytännön tiukka tiedonsiirtosuoja, sisällön suojauskäytäntö, yhdistelmäsisällön estäminen, aliresurssin eheys, Secure- ja HttpOnly-evästeet, kehyksen sandbox-attribuutti sekä selauskontekstien väliseen kommunikaatioon tarkoitettu postMessage-rajapinta. HTTP-yhteyskäytännön tiukka tiedonsiirtosuoja, yhdistelmäsisällön estäminen ja Secure-evästeet torjuvat tehokkaasti salakuuntelun ja mies välissä -hyökkäykset. Sisällön suojauskäytäntö ja HttpOnly-evästeet torjuvat verkkosivun rakennetta muuttavia välityshyökkäyksiä. Sisällön suojauskäytäntö suojaa myös osalta klikkauskaappauksista. Aliresurssin eheys takaa skripti- ja tyylitiedostojen eheyden. Kehysten sandbox-attribuutilla ja postMessage-rajapinnalla voidaan liittää turvallisesti ulkopuolisia sisältöjä ja kommunikoida niiden kanssa. HTTP-yhteyskäytännön tiukan tiedonsiirtosuojan ja Secure-evästeiden käytössä suurimmat haasteet liittyvät lähinnä tietoturvamekanismien oikeaan konfigurointiin. Sen sijaan sisällön suojauskäytännön käyttöönotossa on ongelmia erityisesti parhaiden käytäntöjen yhteensovittamisessa. Aliresurssin eheys toimii teoriassa, mutta käytännössä siltä puuttuu vielä riittävä selaintuki. Kehysten sandbox-attribuutti ja postMessage-rajapinta ovat puolestaan erittäin virhealttiita. Selainpohjaisten tietoturvamekanismien kattavuudessa on myös puutteita: sivustojen välisiä pyyntöhuijauksia, uusia HTML5:n rajapintoja hyödyntäviä eheyden väliaikaisesti vaarantavia klikkauskaappauksia ja mobiililaitteiden helppokäyttöisyysominaisuuksia hyödyntäviä napautuskaappauksia vastaan ei ole toistaiseksi tarjolla varteenotettavia tietoturvamekanismeja.