Sicherheits-Tool Ripley

Microsoft schützt Web-Anwendungen mit Browser-Klon

Microsoft Research hat ein neues Werkzeug zum Schutz von Web-Anwendungen vor manipulierten Daten vorgestellt. Ripley verifiziert eingebene Daten, indem es einen Browser-Klon ausführt und die Eingaben des Benutzers damit vergleicht.

Anwendungen im Web 2.0 können heute mit Javascript so programmiert werden, dass sie praktisch komplett im Browser des Benutzers ablaufen. Lediglich wenige Daten müssen noch zwischen Web-Server und Browser ausgetauscht werden. Schwieriger ist es hingegen, die vom Browser abgeschickten Daten auf mögliche Manipulationen zu untersuchen. Diese Aufgabe wollen Microsoft-Forscher mit einem Tool namens "Ripley" erledigen.

Auf der Computer and Communications Security Conference, die in der letzten Woche in Chicago stattfand, hat Ben Livshits von Microsoft Research diesen Ansatz vorgestellt. Auf dem Web-Server läuft ein drastisch reduzierter Klon der vom jeweiligen Anwender verwendeten Browser-Umgebung. Für den virtuellen Doppelgänger wird pro Benutzer nur wenig mehr als ein Megabyte an Arbeitsspeicher benötigt. Für eine komplette Nachbildung wären hingegen 60 bis 70 MB Speicher pro Benutzer erforderlich. So jedoch können pro Server etwa 1000 Benutzer parallel bedient werden.

Beide Instanzen führen die gleichen Operationen mit den gleichen Daten aus. Ripley vergleicht dann die Ergebnisse beider Instanzen, um Manipulationen auf Anwenderseite zu erkennen. Diese können etwa von Trojanischen Pferden vorgenommen werden, die sich als BHO (Browser Helper Object) im Internet Explorer eingeschlichen haben.

Server-seitig wird die Web-Anwendung mit .NET realisiert und ist dadurch deutlich schneller als die Javascript-Fassung beim Anwender. Dadurch kann es sogar vorkommen, dass der Klon schon ein Ergebnis hat, bevor der Anwender seine Daten abschickt. Er kann bereits reagieren und für den Anwender fühlt sich die Web-Anwendung dadurch sehr schnell an.

Typisches Anwendungsbeipiel für den Einsatz einer solchen Lösung wäre etwa der virtuelle Einkaufswagen in einem Online-Shop. Aber auch Blogs oder Web-basierte Gewinnspiele mit mehreren Teilnehmern könnten so besser vor Manipulationen geschützt werden. (PC-Welt/cvi)