Enforcing secure information flow in client-side Web applications

José Fragoso Femenin dos Santos 1
1 INDES - Secure Diffuse Programming
CRISAM - Inria Sophia Antipolis - Méditerranée
Résumé : Nous nous intéressons à la mise en œuvre des politiques de confidentialité et d'intégrité des données dans le contexte des applications Web côté client. Étant donné que la plupart des applications Web est développée en JavaScript, on propose des mécanismes statiques, dynamiques et hybrides pour sécuriser le flux d'information en Core JavaScript - un fragment de JavaScript qui retient ses caractéristiques fondamentales. Nous étudions en particulier: une sémantique à dispositif de contrôle afin de garantir dynamiquement le respect des politiques de sécurité en Core JavaScript aussi bien qu'un compilateur qui instrumente un programme avec le dispositif de contrôle proposé, un système de types qui vérifie statiquement si un programme respecte une politique de sécurité donnée, un système de types hybride qui combine des techniques d'analyse statique à des techniques d'analyse dynamique afin d'accepter des programmes surs que sa version purement statique est obligée de rejeter. La plupart des programmes JavaScript s'exécute dans un navigateur Web dans le contexte d'une page Web. Ces programmes interagissent avec la page dans laquelle ils sont inclus parmi des APIs externes fournies par le navigateur. Souvent, l'exécution d'une API externe dépasse le périmètre de l'interprète du langage. Ainsi, une analyse réaliste des programmes JavaScript côté client doit considérer l'invocation potentielle des APIs externes. Pour cela, on présente une méthodologie générale qui permet d'étendre des dispositifs de contrôle de sécurité afin qu'ils prennent en compte l'invocation potentielle des APIs externes et on applique cette méthodologie à un fragment important de l'API DOM Core Level 1.
Type de document :
Thèse
Other [cs.OH]. Université Nice Sophia Antipolis, 2014. English. 〈NNT : 2014NICE4148〉
Liste complète des métadonnées

Littérature citée [49 références]  Voir  Masquer  Télécharger

https://tel.archives-ouvertes.fr/tel-01135001
Contributeur : Abes Star <>
Soumis le : mardi 24 mars 2015 - 15:32:05
Dernière modification le : jeudi 11 janvier 2018 - 16:45:51
Document(s) archivé(s) le : jeudi 2 juillet 2015 - 06:42:34

Fichier

2014NICE4148.pdf
Version validée par le jury (STAR)

Identifiants

  • HAL Id : tel-01135001, version 1

Collections

Citation

José Fragoso Femenin dos Santos. Enforcing secure information flow in client-side Web applications. Other [cs.OH]. Université Nice Sophia Antipolis, 2014. English. 〈NNT : 2014NICE4148〉. 〈tel-01135001〉

Partager

Métriques

Consultations de la notice

339

Téléchargements de fichiers

405