1清华大学网络中心 1/6/2009

浏览器逻辑正确性是个艰巨的安全课题

陈硕微软研究院

Redmond, WAUSA

2清华大学网络中心 1/6/2009

提纲浏览器安全问题及可能的解决技术

图形界面、 HTML 层和通信层的逻辑错误导致的安全问题值得尝试的解决技术

一些非技术性的话题微软研究院简介、博士生实习等对博士生评估的一些体会。

3清华大学网络中心 1/6/2009

浏览器安全的重要性浏览器的应用范围越来越广

今天：网上银行、网上购物、股票交易、保险今后：云计算 – 几乎所有的应用都可能变成网络应用。浏览器处于最重要的地位 -- 几乎取代操作系统的地位。

浏览器一些最基本的安全要件要保证同源访问 (Same-Origin-Policy) : 不同网站的网页不能互相访问。加密的通信不能被网络中间人 (man-in-the-middle) 破解。人机界面不能误导用户。…

4清华大学网络中心 1/6/2009

现状：离要求很远在各个层次上都有严重的逻辑错误

图形界面层比如：逻辑错误使得提示栏和地址栏可以被随意篡改

HTML 层比如：逻辑错误使得黑客网页可以随意访问你的银行网页的内容

通信层 : 比如：逻辑错误使得网络中间人可以看见被加密通信的原文。

后果有这些错误，浏览器安全性无从谈起。

5清华大学网络中心 1/6/2009

我们研究中发现的安全漏洞的实例

6清华大学网络中心 1/6/2009

（ A ）图形界面的安全漏洞

7清华大学网络中心 1/6/2009

提示栏篡改

由于控件的任意组合，最终的语义可以千变万化。

input field

anchorform

paypal.com

form target = http://a.comanchor target = http://paypal.com

image

button

form

paypal.com

form target = http://a.comimage target = http://paypal.com

HTML 控件叠加，情形 1 HTML 控件叠加，情形 2

8清华大学网络中心 1/6/2009

https://evil.com#xxxxx...xxxxxxxhttps://paypal.com

地址栏篡改实例 1 （非原子性操作）

9清华大学网络中心 1/6/2009

地址栏篡改实例 2 （线程竞争）

https://evil.com

https://paypal.comc:\windows\system32\shdoclc.dl l?http

History back Load a new page

约 50% 概率使得假冒页面配上了 PayPal.com 地址。

10清华大学网络中心 1/6/2009

（ B ） Proxy 对 HTTPS 加密通信的攻击

11清华大学网络中心 1/6/2009

加密通信的目的加密通信的目的 : 即使别人可以控制网络，也没有办法得到你的通信内容。

几乎所有的银行、股票系统等网站都采用 HTTPS 加密协议。

但是，我们发现所有的浏览器在 HTML 层与 HTTPS层结合上都存在一类逻辑错误。

后果：任何 proxy 都可以获得加密通信的原文也就是说跟没有加密是一样的。

12清华大学网络中心 1/6/2009

网络层网络层

HTTP/HTTPS

HTML 层

Proxy 攻击 HTTPS 的思路浏览器 Proxy HTTPS 服务器

非加密请求

HTTPS加密管道

HTTP/HTTPS

13清华大学网络中心 1/6/2009

<iframe src=“https://bank.com”>

Proxy 攻击实例 1 ：利用“网络错误”应答Proxy 可以用“网络错误”应答浏览器的请求

比如 , 502-server-not-found, other 4xx/5xx response;

浏览器误认为这个应答来自 bank.com 服务器 .

浏览器 Proxy Bank.com服务器

https://bank.com

502:Server not foundhttps://bank.com

14清华大学网络中心 1/6/2009

Proxy 攻击实例 2 ：利用“重定向”应答

浏览器 Proxy

bank.com server

https://bank.com

evil.com 服务器

<script src=“https://js. bank.com/foo.js”>

https://js.bank.com

HTTP 302: 重定向到 https://evil.com

https://evil.com

Script will run in the context of https://bank.com

15清华大学网络中心 1/6/2009

探讨解决方法

16清华大学网络中心 1/6/2009

对浏览器安全的实际影响关于人机界面的工作找到了 13 个安全漏洞，其中的 11 个在 Internet Explorer 7 发布之前得到解决。

关于 HTTPS 的工作使得所有的浏览器厂商都发布安全补丁。Microsoft 在去年 Internet Explorer 8 发布前解决了这些漏洞。

我们的工作提出了一个有意义的新课题怎样系统性地解决浏览器安全问题？

17清华大学网络中心 1/6/2009

艰巨性为什么浏览器安全性非常艰巨？

Complexity!浏览器内部逻辑非常复杂。靠人脑保证正确性不现实。绝大多数漏洞很隐蔽。很少 “ stupid” bugs.传统的难题在浏览器中都有体现并发性、原子性、同步与互斥、竞争语义的任意组合执行不可信代码的能力

18清华大学网络中心 1/6/2009

(1) 形式证明对浏览器源码进行抽象、建模。用自动的定理证明器检查安全要件是否满足。我们在关于人机界面的工作中提出这个方法。见我们在 2007 Oakland Conference (IEEE Symposium on Security and Privacy) 上的论文。

(2) 对模块接口的动态监视模块内部逻辑往往太复杂，但接口的规则有时很简单。我们可以明确定义接口的规则，进行动态监视见我们在 2007 ACM CCS (Conference on Computer and Communications Security) 的论文。

都是起步阶段，有明显局限性，值得更多投入。

值得尝试的方向

19清华大学网络中心 1/6/2009

展望希望更多研究人员关注浏览器逻辑安全问题

浏览器非常重要，但问题很多。这个领域足够新，可以创新的东西很多。学术价值与实用价值结合得很好。

20清华大学网络中心 1/6/2009

微软研究院简介、实习机会等

21清华大学网络中心 1/6/2009

Mission statements of Microsoft ResearchTo expand the state of the art in each of the areas in which they do research； -- 计算机科学基础研究To rapidly transfer innovative technologies into Microsoft products ； -- 向微软产品的成果转化To ensure that Microsoft products have a future. -- 保证微软产品的前景。

研究院分布美国： Redmond （西雅图），硅谷，波士顿中国：北京 英国：剑桥 印度： Bangalore

研究方向所有计算机科学和工程的方向

微软研究院简介

22清华大学网络中心 1/6/2009

强烈建议研究生到微软研究院实习我自己做过两次，收获很多拓宽自己的研究范围，跳出导师的圈子很有可能发表高水平文章认识更多专家，为自己的下一步作好准备

中国学生一般在北京研究院实习实习对本科或硕士生申请美国大学极有好处。每年这时候开始申请。

实习机会

23清华大学网络中心 1/6/2009

对博士生评价的一些体会

24清华大学网络中心 1/6/2009

评价的焦点开拓新方向的能力、深度 / 广度、独立性 / 合作能力、书面口头表达能力。

文章重要吗？很重要，以上能力的重要标志。

文章数量重要吗？不重要。 3篇就足够了， 2篇也很正常。

会议的档次重要吗？很重要。大家只有时间关注最好的会议。

研究成果对现实世界的贡献重要吗？很重要。不仅对微软如此，对顶尖大学也如此。

课内成绩（ GPA ）重要吗？不重要（仅对博士毕业而言）。简历中不必写 GPA ，也没有人关心你的 GPA 。

博士生的竞争力

25清华大学网络中心 1/6/2009

2篇论文在最高会议上对一个大领域的现状非常了解（广度）。比较明显地展示一个新方向或独特的思维方式(深度）是个 leader ，不光是个 executor 。做过会议的评审委员。

高竞争力博士毕业生所达到的高度

26清华大学网络中心 1/6/2009

Q&A关于浏览器与 Web 安全关于计算机与网络安全关于微软研究院关于研究生期间的学习关于美国导师收研究生关于博士就业同学们关心的其他问题