公开(公告)号：US08978106B2

公开(公告)日：2015-03-10

申请号：US13052121

申请日：2011-03-21

申请人： Nikhil Swamy ,  Benjamin Livshits ,  Arjun Guha ,  Matthew J. Fredrikson

发明人： Nikhil Swamy ,  Benjamin Livshits ,  Arjun Guha ,  Matthew J. Fredrikson

IPC分类号： G06F21/00 ,  H04L29/06 ,  G06F17/00 ,  G06F7/04 ,  G06F11/00 ,  G06F9/45 ,  G06Q30/00

CPC分类号： G06F17/00 ,  G06F21/562 ,  G06F21/577 ,  G06F21/629

摘要： An environment is described which enables the generation, analysis, and use of secure browser extensions. Each browser extension includes an extension body and a policy expressed in a logic-based specification language. The policy specifies the access control and dataflow privileges associated with the extension body in a fine-grained manner by leveraging the structure and content of resources that are accessible to the browser extension. A suite of analysis tools for testing the safety of the browser extension includes a visualization module identifies features of a resource that are accessible to the policy. A static analysis module uses a static analysis technique to determine whether the extension body satisfies the policy. The environment also includes a conversion module for converting the browser extension, once deemed safe, into a form for use by a particular type of browser. The browser can execute that extension without performing runtime safety checks.

摘要翻译： 描述了能够生成，分析和使用安全浏览器扩展的环境。 每个浏览器扩展包括扩展体和基于逻辑的规范语言表示的策略。 该策略通过利用浏览器扩展可访问的资源的结构和内容，以细粒度的方式指定与扩展体相关联的访问控制和数据流权限。 一套用于测试浏览器扩展的安全性的分析工具包括一个可视化模块，用于识别策略可访问的资源的功能。 静态分析模块使用静态分析技术来确定扩展体是否满足策略。 该环境还包括一个转换模块，用于将浏览器扩展名一旦被视为安全的格式，转换成特定类型的浏览器使用的格式。 浏览器可以执行该扩展，而不执行运行时安全检查。

公开(公告)号：US20120246701A1

公开(公告)日：2012-09-27

申请号：US13052121

申请日：2011-03-21

申请人： Nikhil Swamy ,  Benjamin Livshits ,  Arjun Guha ,  Matthew J. Fredrikson

发明人： Nikhil Swamy ,  Benjamin Livshits ,  Arjun Guha ,  Matthew J. Fredrikson

IPC分类号： G06F17/00

CPC分类号： G06F17/00 ,  G06F21/562 ,  G06F21/577 ,  G06F21/629

摘要： An environment is described which enables the generation, analysis, and use of secure browser extensions. Each browser extension includes an extension body and a policy expressed in a logic-based specification language. The policy specifies the access control and dataflow privileges associated with the extension body in a fine-grained manner by leveraging the structure and content of resources that are accessible to the browser extension. A suite of analysis tools for testing the safety of the browser extension includes a visualization module identifies features of a resource that are accessible to the policy. A static analysis module uses a static analysis technique to determine whether the extension body satisfies the policy. The environment also includes a conversion module for converting the browser extension, once deemed safe, into a form for use by a particular type of browser. The browser can execute that extension without performing runtime safety checks.

摘要翻译： 描述了能够生成，分析和使用安全浏览器扩展的环境。 每个浏览器扩展包括扩展体和基于逻辑的规范语言表示的策略。 该策略通过利用浏览器扩展可访问的资源的结构和内容，以细粒度的方式指定与扩展体相关联的访问控制和数据流权限。 一套用于测试浏览器扩展的安全性的分析工具包括一个可视化模块，用于识别策略可访问的资源的功能。 静态分析模块使用静态分析技术来确定扩展体是否满足策略。 该环境还包括一个转换模块，用于将浏览器扩展名一旦被视为安全的格式，转换成特定类型的浏览器使用的格式。 浏览器可以执行该扩展，而不执行运行时安全检查。