Document details

Tese de mestrado em Segurança Informática, apresentada à Universidade de Lisboa, através da Faculdade de Ciências, 2013

As aplicações na Web estão cada vez mais sendo utilizadas por organizações e empresas com o objetivo de vender bens e serviços ou prestar informações de interesse público para a sociedade. Nos últimos anos, o surgimento de novas tecnologias para a programação dessas aplicações proporcionou um significativo incremento em suas funcionalidades e possibilidades, permitindo uma interação maior com seus utilizadores bem como uma experiencia de uso mais agradável. Entretanto, a segurança no uso dessas aplicações ´e baseada na confiança que um utilizador deve ter nos servidores web que hospedam a aplicação, considerando que os mesmos não estão alterando o conteúdo dos dados da aplicação, enviando conteúdo malicioso com o objetivo de instalar malware em seu computador pessoal, roubar-lhe informações pessoais ou quaisquer outras pretensões maliciosas. Adicionalmente, os utilizadores da aplicação web não têm a garantia de que um servidor web não possa utilizar suas credenciais de autenticação para obter e/ou alterar dados armazenados em uma base de dados da qual o mesmo faz uso. O presente trabalho tem por objetivo desenvolver e avaliar um framework de programação de aplicações web que permita a interação com um conjunto de servidores web não confiáveis garantindo uma interação segura com uma base de dados. Para tal, o framework foi desenvolvido utilizando a tecnologia AJAX (Asynchronous JavaScript and XML), de forma a permitir que o navegador do utilizador possa verificar a integridade e autenticidade dos dados da aplicação web, bem como realizar a mudança de servidor web de forma transparente, tão logo receba conteúdo malicioso de um servidor ou a comunicação com o mesmo ultrapasse um limite de tempo pré-definido. Adicionalmente, uma aplicação web será implementada utilizando tal framework e avaliada quanto a sua fiabilidade e desempenho.

Web applications are increasingly being used by organizations and companies in order to sell goods and services or provide public information to society. In recent years, the emergence of new technologies for programming web applications resulted in a significant increase in their functionality and possibilities, allowing greater interaction with its users and a more enjoyable user experience. However, the security of such applications is based on the trust that a user must have in the web servers that host the application, considering that they are not changing the content of the data to be displayed to the users, sending malicious content, in order to install malware on your personal computer, steal personal information or any other malicious intentions. Additionally, users of the web application does not have a guarantee that a web server can not use their authentication credentials to obtain and / or modify data stored in a database from which it makes use. The purpose of this study is to develop a framework for programming web applications allowing the handling of a set of untrusted web servers ensuring a secure interaction with the application database. To this end, the framework was developed using AJAX technology (Asynchronous JavaScript and XML), to allow the user’s browser verify the authenticity and integrity of web application and switch web server transparently, so soon receive corrupted content from a malicious server or the communication exceeds a timeout. Additionally, a web application was implemented using this framework and evaluated in terms of reliability and performance.