Secure input for web applications

Abstract

Das Web ist zu einem unerlässlichen Teil unseres Lebens geworden. Webapplikationen sind unzweifelhaft die vorherrschende Methode um Onlinedienste zu nutzen. Jeden Tag verwenden Millionen Benutzer das Web um einzukaufen, Bankgeschäfte abzuwickeln, Informationen zu suchen und zu kommunizieren.<br /> Obwohl das Web für die Benutzer den Komfort bietet, jederzeit und überall an Informationen zu kommen und Dienste zu nutzen, ist es gleichzeitig das Ziel vieler böswilliger Menschen, die sich leichten Profit von Angriffen auf ahnungslose Benutzer erwarten. In den letzten Jahren hat die Anzahl webbasierter Angriffe stark zugenommen, was die Wichtigkeit von Techniken und Werkzeugen zur Erhöhung der Sicherheit im Web unterstreicht. Zum Beispiel sind Banken, die ihre Dienste im Web anbieten, ein primäres Ziel von Phishingattacken. Weiters gab es viele Pressemeldungen über den Diebstahl von Kreditkartendaten von Millionen von Benutzern.<br />Ein wichtiges Forschungsproblem im Bereich der Websichertheit ist, wie man einem Benutzer auf einer unsicheren Platform (also einem Computer, der mit bösartigen Programmen infiziert ist) die sichere Übermittlung von Daten an eine Webapplikation gewährleistet. Die bisher vorgeschlagenen Lösungen benötigen in den meisten Fällen zusätzliche (und oft teure) Hardware, zum Beispiel eine Chipkarte und ein entsprechendes Lesegerät. In dieser Diplomarbeit besprechen wir Angriffe auf Webapplikationen, die über den Computer eines Benutzers ausgeführt werden können, zum Beispiel mittels eines Trojanischen Pferdes. Wir haben aktuelle Sicherheitslösungen auf Webseiten von verschiedenen Banken untersucht und präsentieren die Schwächen dieser Lösungen. Weiters stellen wir zwei neue Möglichkeiten vor, wie sichere Eingabe in Webapplikationen realisiert werden kann. Wir haben in kleinem Umfang eine Benutzerstudie durchgeführt, um zu überprüfen ob unsere vorgeschlagenen Lösungen praktikabel sind.<br />Da unsere Abhängigkeit vom World Wide Web weiterhin steigt, erwarten wir, dass Angriffe auf Webapplikationen seitens des Clients weiterhin zunehmen.<br />

The web is an indispensable part of our lives. Undoubtedly, web applications have become the most dominant way to provide access to online services.<br />Every day, millions of users purchase items, transfer money, retrieve information and communicate over the web. Although the web is convenient for many users because it provides anytime, anywhere access to information and services, at the same time, it has also become a prime target for miscreants who attack unsuspecting web users with the aim of making an easy profit. The last years have shown a significant increase in the number of web-based attacks, highlighting the importance of techniques and tools for increasing the security of the web. For example, online banking web sites all over the world are frequent targets of phishing attempts and there has also been extensive press coverage of recent security incidences involving the loss of sensitive credit card information belonging to millions of customers.<br />An important web security research problem is how to enable a user on an untrusted platform (e.g., a computer that has been compromised by malware) to securely transmit information to a web application. Solutions that have been proposed to date are mostly hardware-based and require (often expensive) peripheral devices such as smart card readers and chip cards. In this thesis, we discuss some common aspects of client-side attacks (e.g., Trojan horses) against web applications. We review current protections schemes deployed on online banking sites and discover their shortcomings. Further, we present two simple techniques that can be used by web applications to enable secure user input. We also conducted a small-scale usability study to examine whether the techniques that we propose are feasible.<br />As our dependency on the web increases, we expect that client-side attacks against web applications will be continuing problems in the future.