系统和方法可以支持接收网页内容并且检测与网页内容相关联的访问控制属性。此外,访问控制属性可以被监测以了解禁用状态。在一个示例中,禁用状态可以被检测到,响应于该禁用状态可以确定访问策略,并且该访问策略可以被实施。描述并要求保护了其它实施例。
【技术实现步骤摘要】
【国外来华专利技术】基于沙箱使用来检测、执行和控制访问权限
技术介绍
实施例总体上涉及对于基于网页的(webbased)应用的访问控制。更具体地,实施例涉及检测、执行和控制针对非本地网页应用的访问权限。HTML5(超文本标记语言5,例如,HTML5Editor’sDraft8May2012,WorldWideWebConsortium/W3C,www*w3*org)是一种新兴的标记语言,其可以支持更强大的多媒体相关网页平台开发以及来自不同来源的更多功能的网页内容(webcontent)的组合。然而,应用开发者使用HTML5,也会将对网页内容的某些特征和/或功能的控制,例如广告、弹出窗口、控件和脚本,暴露给其它网页应用以及终端用户,其中这种控制的暴露可能会导致安全方面的问题。例如,沙箱可以是一组规则,其在创建应用时被使用,以便当代码作为网页的一部分被发送时阻止某些功能。而且,沙箱可以限制应用访问浏览器内的其它应用以及随机的客户资源(例如,软件开发情景下的代码隔离工具)。未被检测到的恶意软件可能会禁用HTML5沙箱属性以捕捉所存储的(例如在硬盘上的)敏感用户数据。另外,用户可能在没有完全了解禁用的后果(例如,损失所需功能)的情况下禁用沙箱属性。附图说明通过阅读下文的说明书和所附的权利要求,并通过参考以下附图,对于本领域技术人员来说本专利技术的实施例的各种优点将变得显而易见,其中:图1是根据一个实施例的访问控制体系结构的示例的框图;图2是根据一个实施例的管理基于网页的访问控制的方法的示例的流程图;图3是根据一个实施例的处理器的示例的框图;以及图4是根据一个实施例的系统的示例的框图。具体实施方式现在转向图1,其示出了访问控制体系结构11,其中访问控制(例如,沙箱)管理器10用来检测、执行和控制关于网页应用和内容的访问权限。在所示出的示例中,浏览器模块12接收具有一个或多个相关联的访问控制属性14(例如,HTML5沙箱属性)的网页内容。访问控制属性14可以允许网页内容(其可能源自多个不同的源)的开发者来为与网页内容相关的一个或多个操作/功能设定访问权限。例如,网站开发人员可以启用访问控制属性14,以便在用户访问所述网站时,确保诸如插件实例化、脚本执行、弹出界面生成、表单提交、存储访问等功能在浏览器内不可操作。另一个示例,某些浏览器(例如,MicrosoftInternetExplorer9/IE9)具有HTML5沙箱,其包括供开发者锁定访问控制功能的多种方式;然而,沙箱可以被网页应用的开发者禁用。如将更加详细地所讨论的,访问控制管理器10通常可检测访问控制属性14的启用并且监测访问控制属性14以了解禁用状态(disablementcondition)。通过监测访问控制属性14以了解禁用,所示出的访问控制管理器10提供针对恶意软件攻击的更强大保护,使得终端用户能够更加意识到访问控制后果及问题,并且在执行访问控制时,为用户提供更精细的权限选项。更具体地,访问控制管理器10可以包括检测所述禁用状态的监测模块16、响应于该禁用状态而确定访问策略或其它客户动作的执行模块18、以及实施该接入策略的内容接口20。在一个示例中,监测模块16包括测试组件22,其周期性地测试功能,例如实例化插件、执行脚本、生成弹出界面、提交表单、访问存储等的能力。另外,监测模块16可以包括用户组件24以及配置组件26,所述用户组件24用于确定关于访问控制属性14的用户动作/触发因素是否已发生,所述配置组件26用于确定对应于访问控制属性14的浏览器配置设置28是否已经发生变化。此外,所示出的监测模块30包括日志组件30,其用于记录关于访问控制属性14的活动。因此,禁用状态可以相当于:测试组件22能够执行一个或多个所测试的功能,用户组件24检测到关于访问控制属性14的用户动作,配置组件26确定浏览器配置设置28已发生改变等等,或其任意组合。响应于禁用状态,执行模块18可以从策略库32和/或应用简档库34中获得访问策略。在这方面,所示出的执行模块18包括被配置为识别与禁用状态相关联的请求方应用标识的识别组件40,以及使用请求方应用标识来从应用简档库34中提取至少一部分访问策略的搜索组件38。例如,应用简档库34可以包含这样的条目:其说明了当网页浏览器自带的HTML5沙箱功能被禁用时,来自“应用X”的向网站“CustomerApp.html”的提交请求被允许,而来自未经认证的应用的向网站“CustomerProfile.html”的存储访问或JavaScript请求不被允许。由此,所示出的执行模块18也包括被配置为识别与网页内容相关联的一个或多个功能的功能组件36,其中,搜索组件38可以使用该一个或多个功能来从策略库32中提取至少一部分访问策略。例如,功能组件36可以确定网页内容包含表单,并因此在策略库32搜索表单提交指南,以在某些沙箱功能被禁用时确定要采取的一系列动作。对应用简档库34的搜索也可以考虑到网页内容功能,而对策略库32的搜索可以考虑到请求方应用标识。此外,应用的粒度可以基于网站地址(例如,CustomerApp.html相对于CustomerProfile.html)。特别值得注意的是,取决于访问策略,日志组件30对沙箱禁用活动的记录也可能不同。这种方法对于调查、取证和信誉信息系统可能特别有利。实施访问策略可以包括例如自动地启用访问控制属性14。在另一个示例中,实施访问策略可以包括确定在不影响该网页内容的情况下访问控制属性不能被启用,以及禁止网页内容或应用另一个/不同的控制。访问策略也可以要求通过图形用户界面(GUI)42来产生用户通知,其中用户通知包括禁用状态的识别、以及推荐的动作。例如,用户通知可能解释跨源存储访问(例如,跨应用的存储访问)已启用,即使被访问网站的网页开发人员曾使用访问控制属性14以防止该功能。这种用户通知也可以解释与允许这种功能相关联的恶意软件问题。内容接口20可以接收对于用户通知的响应,并且基于该响应来确定是否要修改访问控制属性14。例如,如果用户不希望其在一个社交网站上的行为被缓存并被在线零售商使用,该用户可对社交网站和在线零售商的各自访问控制属性执行较严格的策略——重写这些应用的开发者原先所指示的。因此,尽管访问控制管理器10可以提供建议,但是用户可以保留在安全特权决策圈内。现在转向图2,其示出了用于管理基于网页的访问控制的方法44。方法44可以被实施为存储在机器或计算机可读介质(例如,随机存取存储器(RAM)、只读存储器(ROM)、可编程ROM(PROM)、闪存等)中的一组逻辑指令和/或固件,被实施在可配置的逻辑(诸如,例如可编程逻辑阵列(PLA)、现场可编程门阵列(FPGA)、复杂可编程逻辑器件(CPLD))中,被实施在使用电路技术的固定功能逻辑硬件(诸如,例如专用集成电路(ASIC)、互补金属氧化物半导体(CMOS)或晶体管-晶体管逻辑(TTL)技术)中,或其任意组合。例如,执行方法44中所示的操作的计算机程序代码可以以一种或多种编程语言的任意组合来编写,所述编程语言包括面向对象的编程语言(例如C++等)以及传统的过程编程语言(例如“C”编程语言或类似的编程语言)。此外,方法44可以被实施为使用任何前述电路技术的访问控本文档来自技高网...
【技术保护点】
一种系统,包括:网络接口;浏览器模块,其用于通过所述网络接口来接收网页内容;以及安全管理器,其用于检测与所述网页内容相关联的访问控制属性,并且监测所述访问控制属性以了解禁用状态。
【技术特征摘要】
【国外来华专利技术】2012.09.27 US 13/628,2211.一种基于网页的安全系统,包括:网络接口;浏览器模块,其用于通过所述网络接口来接收网页内容;以及安全管理器,其用于检测与所述网页内容相关联的访问控制属性,并且监测所述访问控制属性以了解禁用状态,其中,所述安全管理器进一步用于:周期性地测试与所述网页内容相关联的一个或多个功能;确定是否已发生关于所述访问控制属性的用户动作;确定对应于所述访问控制属性的浏览器配置设置是否发生了变化;以及记录关于所述访问控制属性的活动。2.如权利要求1所述的系统,其中,所述安全管理器包括:监测模块,其用于检测所述禁用状态;执行模块,其用于响应于所述禁用状态而确定访问策略;以及内容接口,其用于实施所述访问策略。3.如权利要求2所述的系统,其中,所述内容接口用于启用所述访问控制属性。4.一种用于管理基于网页的安全性的方法,包括:接收网页内容;检测与所述网页内容相关联的访问控制属性;并且监测所述访问控制属性以了解禁用状态,其中,监测所述访问控制属性包括:周期性地测试与所述网页内容相关联的一个或多个功能;确定是否已发生关于所述访问控制属性的用户动作;确定对应于所述访问控制属性的浏览器配置设置是否发生了变化;以及记录关于所述访问控制属性的活动。5.如权利要求4所述的方法,进一步包括:检测所述禁用状态;响应于所述禁用状态而确定访问策略;并且实施所述访问策略。6.如权利要求5所述的方法,其中,实施所述访问策略包括启用所述访问控制属性。7.一种基于网页的安全装置,包括:用于接收网页内容的单元;用于检测与所述网页内容相关联的访问控制属性的单元;以及用于监测所述访问控制属性以了解禁用状态的单元,其中,监测所述访问控制属性包括:周期性地测试与所述网页内容相关联的一个或多个功能;确定是否已发生关于所述访问控制属性的用户动作;确定对应于所述访问控制属性的浏览器配置设置是否发生了变化;以及记录关于所述访问控制属性的活动。8.如权利要求7所述装置,还包括:用于检测所述禁用状态的单元;用于响应于所述禁用状态而确定访问策略的单元;以及用于实施所述访问...
【专利技术属性】
技术研发人员:H·李,T·M·科伦贝格,R·H·奥海依比,A·D·罗斯,
申请(专利权)人:英特尔公司,
类型:发明
国别省市:美国;US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。