Mehr Sicherheit im Internet mit innovativem Browser-Plugin
Das Internet ist ein alltäglicher Begleiter geworden. So loggen wir uns auch täglich mit Hilfe eines Accounts bei Facebook oder Google auf bestimmten Webseiten ein. Doch das birgt auch gewisse Risiken. Die TU Wien hat dazu eine neuartige Browser-Extension entwickelt, die das Problem löst. Am 17. August dieses Jahres wurde das neue Plugin beim Fach-Symposium 27 Usenix Security in Baltimore. Dabei handelt es sich um die wichtigste Konferenz weltweit im Bereich System-Security.
Viele User kennen das Problem von verschiedenen Internetseiten. Damit bestimmte Funktionen genutzt werden können, muss man sich anmelden und authentifizieren. Ärgerlich dabei ist, wenn Nutzer für jede einzelne Seite ein eigener Account anlegen müssen. Da ist es praktisch, sich über den eigenen Account von Facebook oder Google anzumelden. Das bedeutet aber auch, dass Facebook oder Google die Daten der Nutzer direkt an die Betreiber der jeweiligen Webseite weitergibt. Daher haben Wissenschaftler der TU Wien die Prozesse der Authentifizierung untersucht und einen Browser-Plugin entwickelt, der die Sicherheitslücken schließen soll.
Login mit Facebook und Google
Inzwischen ist es fast selbstverständlich, dass sich Internetnutzer mit den Accounts der Social Media Portalen online einloggen. So ist über Facebook auch eine Anmeldung bei Instagram möglich, aber auch auf diversen Blogs, Online-Magazinen und vielem mehr. Die jeweilige Website erhält die Daten direkt von Facebook bzw. Google. Dabei ist jedoch nicht erkennbar, welche weiteren Programme auf den Webseiten aktiviert sind und gefährlich sein könnten.
Denkbar wäre zum Beispiel, dass die Zugangsdaten zu den sozialen Netzwerken illegal genutzt werden, um weitere Informationen zu erhalten. Malware könnte so unter anderem auf persönliche Daten zugreifen, auflisten, welche Seiten vorab besucht wurden oder Details zu persönlichen Kontakten abgefragt werden. Theoretisch wäre auch möglich, dass das Programm den Social-Media-Account steuert.
Mehr Sicherheit beim surfen
Die Wiener Wissenschaftler haben daher eine Plugin-Erweiterung konzipiert, die als Barriere zwischen Browser und schädlichen Programmen fungiert. Dabei verschickt Facebook beim Login einen Code, mit dem man sich dann auf der Website eines Drittanbieters anmelden kann. Dieser Plugin ersetzt den Code mit einem weiteren Zusatz-Code. Der erste Code wird nur für die Kommunikation mit Facebook genutzt, für die Scripts anderer Webseiten ist nur der Ersatz-Code sichtbar. Die Browser-Erweiterung fungiert damit als Datenübermittler. Damit kann man ausschließen, dass negative Scripts illegal auf die Facebook-Daten zugreifen oder Daten austauschen.
Zusätzlich überwacht das Plugin den kompletten Datentransfer des Browsers. Dazu werden die Protokolle zur Authentifizierung genau definiert. So wissen die Wissenschaftler, welche Informationen in welcher Reihenfolge zwischen Browser und Webseite ausgetauscht werden müssen. Diese Schritte sind genau festgelegt. Wenn sich eine Webseite nicht daran hält, kann es sich um eine möglicherweise gefährliche Aktion. Das kann der Fall sein, wenn zum Beispiel bestimmte Schritte der Authentifizierungs-Sequenz gefordert werden, obwohl vorherige Schritte noch nicht erledigt worden sind. Damit ist es den Wissenschaftlern gelungen, die Sicherheit enorm zu verbessern. In der Folge wird der Datenaustausch zwischen Browser und Webseite so überwacht, dass es nicht möglich ist, das Plugin zu umgehen. Dies lässt sich sogar mathematisch belegen.
Erste Tests in der Praxis
Die Wissenschaftler in Wien wurden dafür bereits mit einem ERC Grant ausgezeichnet. Das innovative Plugin ist ein erster großer Erfolg des Projekts. Derzeit können Nutzer das Plugin für den bekannten Browser Chrome downloaden und installieren. Die Forscher arbeiten jedoch daran, das Plugin noch weiter zu verbessern. Zudem werden erste Gespräche mit weiteren namhaften Herstellern von Browsern geführt, um das Plugin direkt in die Browser zu integrieren.
Das neuartige Plugin sorgt damit für eine erhöhte Sicherheit und ergänzt die bisherigen Schutzmechanismen. Darüber hinaus ist es effizient und sparsam konstruiert. Damit kommt es durch das Plugin auch nicht zu Verzögerungen beim Laden der Webseiten oder sonstigen Beeinträchtigungen bei der Internetnutzung.