DC FieldValueLanguage
dc.contributor.advisorWeippl, Edgar-
dc.contributor.authorKoppmann, Michael-
dc.date.accessioned2021-11-22T08:08:51Z-
dc.date.issued2021-
dc.date.submitted2021-11-
dc.identifier.citation<div class="csl-bib-body"> <div class="csl-entry">Koppmann, M. (2021). <i>Object Capabilities and Their Benefits for Web Application Security</i> [Diploma Thesis, Technische Universität Wien]. reposiTUm. https://doi.org/10.34726/hss.2021.80738</div> </div>-
dc.identifier.urihttps://doi.org/10.34726/hss.2021.80738-
dc.identifier.urihttp://hdl.handle.net/20.500.12708/18849-
dc.descriptionArbeit an der Bibliothek noch nicht eingelangt - Daten nicht geprüft-
dc.descriptionAbweichender Titel nach Übersetzung der Verfasserin/des Verfassers-
dc.description.abstractHeutzutage werden mehr und mehr Applikationen mit Webtechnologien wie HTML, CSS und JavaScript implementiert, die anschließend in Browsern ausgeführt werden. Das Web dient dabei als betriebssystemunabhängige Applikationsplattform. Dadurch ändert sich auch das zugrundeliegende Autorisierungsmodell, das nun nicht mehr ausschließlich von lokalen Betriebssystemkonten und Dateisystemberechtigungen abhängt. Stattdessen werden diese Konten nun von den Applikationen selbst implementiert, inklusive aller Absicherungsmaßnahmen und Sicherheitskontrollen, die dafür notwendig sind. Aufgrund der darin liegenden Komplexität führt dies jedoch dazu, dass Fehler in der Autorisierungslogik zu den häufigsten Sicherheitsschwachstellen bei Webapplikationen zählen. Die meisten Applikationen bauen auf dem Konzept der Access Control List auf, einem Sicherheitsmodell das bestimmt, wer auf welche Objekte zugreifen darf. Diese Diplomarbeit präsentiert das alternative Autorisierungsmodell der Object Capabilities im Kontext von Webapplikationen, und wie es genutzt werden kann, um gewissen Schwachstellenkategorien vorzubeugen. Dafür wurde eine Fallstudie durchgeführt und ein Prototyp einer Webapplikation entwickelt, die auf diesem Modell aufbaut. Der Prototyp wurde daraufhin einer Sicherheitsüberprüfung unterzogen, wobei die Applikation auf die zehn häufigsten Webschwachstellen untersucht wurde. Ebenso wurde eine Modellevaluierung durchgeführt, bei der die grundlegenden Konzeptunterschiede beider Sicherheitsmodelle verglichen wurden. Dafür wurden Beispiele aus bestehenden Applikationen genommen, die auf Access Control Lists basieren. Die Ergebnisse der Analysen sind vielversprechend, zeigen jedoch auch auf, dass Erweiterungen in aktuellen Browsern notwendig sind, um Object Capabilities im Web noch sicherer zu gestalten.de
dc.description.abstractNowadays, more and more applications are built with web technologies like HTML, CSS, and JavaScript, which are then executed in browsers. The web is utilized as an operating system independent application platform. As a consequence, the underlying authorization model changes, which now no longer depends only on operating system accounts and file system permissions. Instead, these accounts are now implemented in the applications themselves, including all of the protective measures and security controls that are required for this. Because of the inherent complexity, flaws in the authorization logic are among the most common security vulnerabilities in web applications. Most applications are built on the concept of the Access-Control List, a security model which decides, who can access what object. This diploma thesis presents the alternative authorization model of Object Capabilities in the context of web applications and how it can be used to prevent certain vulnerability classes. A case study was conducted for this and a prototype of a web application was developed that is based on this model. A security analysis was then performed on the prototype, where it was tested for the ten most common security vulnerabilities found in web applications. Afterwards, the model was evaluated by comparing the fundamental differences between these two concepts. Examples were taken from existing applications that are built upon access-control lists. The results of these analyses are promising, but they also show that extensions in current browsers are required to further improve the security for object capabilities on the web.en
dc.format85 Seiten-
dc.languageEnglish-
dc.language.isoen-
dc.subjectWeben
dc.subjectSecurityen
dc.subjectHaskellen
dc.subjectOCAPen
dc.subjectObject Capabilitiesen
dc.subjectPrinciple of Least Privilegeen
dc.subjectPrinciple of Least Authorityen
dc.subjectPurely Functional Programmingen
dc.subjectWeb Developmenten
dc.subjectObject-oriented Programmingen
dc.titleObject Capabilities and Their Benefits for Web Application Securityen
dc.typeThesisen
dc.typeHochschulschriftde
dc.identifier.doi10.34726/hss.2021.80738-
dc.contributor.affiliationTU Wien, Österreich-
dc.publisher.placeWien-
tuw.thesisinformationTechnische Universität Wien-
tuw.publication.orgunitE194 - Institut für Information Systems Engineering-
dc.type.qualificationlevelDiploma-
dc.identifier.libraryidAC16383107-
dc.description.numberOfPages85-
dc.thesistypeDiplomarbeitde
dc.thesistypeDiploma Thesisen
tuw.advisor.staffStatusstaff-
item.fulltextwith Fulltext-
item.grantfulltextopen-
item.languageiso639-1en-
item.openairecristypehttp://purl.org/coar/resource_type/c_18cf-
item.openairecristypehttp://purl.org/coar/resource_type/c_18cf-
item.cerifentitytypePublications-
item.cerifentitytypePublications-
item.openaccessfulltextOpen Access-
item.openairetypeThesis-
item.openairetypeHochschulschrift-
crisitem.author.deptTU Wien, Österreich-
Appears in Collections:Thesis

Files in this item:



Items in reposiTUm are protected by copyright, with all rights reserved, unless otherwise indicated.

Page view(s)

167
checked on May 25, 2022

Download(s)

170
checked on May 25, 2022

Google ScholarTM

Check