Execução confiável de código Javascript remoto

Abstract

Nos dias que correm, é cada vez mais frequente a utilização da linguagem Javascript nas páginas Web como forma de aumentar a experiência de utilização de uma aplicação Web por parte de um utilizador. No entanto, apesar de todas as funcionalidades que são reconhecidas no Javascript, este é igualmente um potencial vetor de ataque ao utilizador que acede à página Web, pois o mesmo pode ser alvo de interceção e modificação maliciosa. Por outro lado, este mesmo Javascript pode ser criado intencionalmente com fins maliciosos, para enganar o utilizador. Sendo que os browsers Web se comportam, nos nossos dias, como uma janela “aberta” para o mundo, e que os mesmos executam código remoto, localmente nos nossos dispositivos (computadores, smartphones, entre outros) é importante garantir a confiança, na execução desse mesmo código remoto. Esta confiança, deve ser garantida no produtor do código remoto, no transporte do mesmo, assim como no próprio código. Ao longo desta dissertação foi desenvolvido e testado um sistema que procura endereçar os problemas descritos. O sistema desenvolvido e descrito ao longo desta dissertação visa aumentar a segurança dos utilizadores, assegurando a integridade do Javascript, desde a sua origem até à sua execução no browser Web, garantindo a confiança na execução do mesmo. O protótipo do sistema desenvolvido é composto por um proxy, que irá efetuar a validação do Javascript, e uma aplicação Java, que irá efetuar a preparação e proteção do código Javascript da aplicação web, ambos recorrendo a mecanismos de criptografia de chave pública.

Nowadays, it is increasingly common to use the JavaScript language on Web pages in order to increase the user experience of a Web application by a user. However, despite all the features that are recognized in Javascript, it is also a mean of attack to the users that access the pages, at the intersection and malicious modification of the page. On the other hand, this same Javascript can be intentionally created with malicious purposes, to fool the user. Since Web browsers behave, today, as an "open" window to the world, and that they execute remote code locally in our devices (computers, smartphones, etc.) is important to ensure confidence in the execution of that same remote code. This confidence must be ensured in the remote producer code, in its transport, as at the code itself. Throughout this dissertation it was developed and tested a system that seeks to address the problems described. The system developed and described throughout this dissertation aims to increase the safety of users, ensuring the integrity of the Javascript, since its creation, to execution in the Web browser, ensuring confidence in its execution. The prototype of the developed system consists of a proxy, which will validate the Javascript code, and a Java application that will make the preparation and protection of the Javascript in the application, both using public key encryption mechanisms.