2025-11-14T09:58:11.521609

Passwords and FIDO2 Are Meant To Be Secret: A Practical Secure Authentication Channel for Web Browsers

Gautam, Yadav, Smith et al.
Password managers provide significant security benefits to users. However, malicious client-side scripts and browser extensions can steal passwords after the manager has autofilled them into the web page. In this paper, we extend prior work by Stock and Johns, showing how password autofill can be hardened to prevent these local attacks. We implement our design in the Firefox browser and conduct experiments demonstrating that our defense successfully protects passwords from XSS attacks and malicious extensions. We also show that our implementation is compatible with 97% of the Alexa top 1000 websites. Next, we generalize our design, creating a second defense that prevents recently discovered local attacks against the FIDO2 protocols. We implement this second defense into Firefox, demonstrating that it protects the FIDO2 protocol against XSS attacks and malicious extensions. This defense is compatible with all websites, though it does require a small change (2-3 lines) to web servers implementing FIDO2.
academic

كلمات المرور و FIDO2 مخصصة ليكون سرية: قناة مصادقة آمنة عملية لمتصفحات الويب

المعلومات الأساسية

  • معرّف الورقة: 2509.02289
  • العنوان: كلمات المرور و FIDO2 مخصصة ليكون سرية: قناة مصادقة آمنة عملية لمتصفحات الويب
  • المؤلفون: أنوج جوتام (جامعة تينيسي)، تارون يادav (جامعة بريغهام يونغ)، جاريت سميث (جامعة بريغهام يونغ)، كينت سيمونز (جامعة بريغهام يونغ)، سكوت روتي (جامعة تينيسي)
  • التصنيف: cs.CR (التشفير والأمان)
  • المؤتمر المنشور: CCS '25 (مؤتمر ACM SIGSAC للحوسبة والاتصالات الآمنة)
  • رابط الورقة: https://arxiv.org/abs/2509.02289

الملخص

توفر مديري كلمات المرور مزايا أمان كبيرة للمستخدمين، لكن البرامج النصية الضارة على جانب العميل وامتدادات المتصفح يمكنها سرقة كلمات المرور بعد أن يقوم مدير كلمات المرور بملء كلمات المرور تلقائياً في صفحات الويب. تعمل هذه الورقة على توسيع العمل السابق لـ Stock و Johns، وتوضح كيفية تعزيز الملء التلقائي لكلمات المرور لمنع هذه الهجمات المحلية. قام المؤلفون بتنفيذ تصميمهم في متصفح Firefox وأجروا تجارب تثبت أن هذا الدفاع ينجح في حماية كلمات المرور من هجمات XSS والامتدادات الضارة. تُظهر الدراسة أيضاً أن التنفيذ متوافق مع 97% من أفضل 1000 موقع في Alexa. بالإضافة إلى ذلك، قام المؤلفون بتعميم التصميم وإنشاء آلية دفاع ثانية لمنع الهجمات المحلية المكتشفة مؤخراً على بروتوكول FIDO2.

خلفية البحث والدافع

المشكلة الأساسية

يوجد ثغرة أمان واضحة في مديري كلمات المرور: كلمات المرور عرضة للسرقة بعد ملؤها تلقائياً في المتصفح وقبل نقلها إلى موقع الويب. يتضمن ذلك السرقة من التهديدات التالية:

  1. متتبعات الويب: قد تجمع معلومات كلمات المرور بشكل غير مقصود
  2. هجمات الحقن (مثل XSS): يمكن للبرامج النصية الضارة قراءة كلمات المرور مباشرة من DOM
  3. امتدادات المتصفح الضارة: يمكن للامتدادات التي تملك الأذونات المناسبة الوصول إلى محتوى الويب وطلبات الشبكة
  4. مكتبات JavaScript المخترقة: حقن الأكواد الضارة من خلال هجمات سلسلة التوريد

أهمية المشكلة

  • هذه الهجمات شائعة نسبياً، وتُظهر الأبحاث أن ما لا يقل عن 2-3% من المواقع الشهيرة تحتوي على متتبعات ويب تسرب كلمات المرور
  • تظل هجمات XSS مدرجة باستمرار في أفضل 10 مخاطر أمان تطبيقات الويب وفقاً لـ OWASP
  • تتفاقم مشكلة امتدادات المتصفح الضارة، حيث توجد آلاف الامتدادات في متجر Chrome التي تملك أذونات كافية لتنفيذ مثل هذه الهجمات

قيود الطرق الموجودة

اقترح Stock و Johns بروتوكول حماية كلمات المرور القائم على استبدال الأرقام العشوائية قبل عقد من الزمان، لكن هذا البروتوكول غير متوافق مع تصاميم المتصفحات الحديثة. حتى متصفح Firefox، الذي كان يعمل معه في ذلك الوقت، أزال الميزات ذات الصلة بسرعة، مما منع اعتماد البروتوكول والتطور اللاحق للبحث في هذا المجال.

المساهمات الأساسية

  1. تنفيذ واجهة برمجية عملية لاستبدال كلمات المرور القائمة على الأرقام العشوائية: تعديل المتصفحات الحديثة لدعم تنفيذ عملي لبروتوكول Stock و Johns
  2. توسيع نموذج التهديد: تحديد ومعالجة تهديد امتدادات المتصفح الضارة التي لم يأخذها البروتوكول الأصلي في الاعتبار
  3. قناة أمان FIDO2: تعميم التصميم على بروتوكول FIDO2 لحماية الهجمات المحلية المكتشفة مؤخراً
  4. التحقق من الانتشار العملي: التنفيذ والتقييم في Firefox، مما يثبت التوافق مع 97% من المواقع الرئيسية

شرح الطريقة

تعريف المهمة

تصميم قناة متصفح آمنة تمكّن مدير كلمات المرور من نقل كلمات المرور بأمان إلى موقع الويب دون السماح لبرامج DOM النصية أو امتدادات المتصفح بالوصول إلى محتوى كلمات المرور الفعلية.

تصميم معمارية حماية كلمات المرور

تصميم واجهة برمجية أساسية

توسيع واجهة WebRequest الموجودة بإضافة مرحلة جديدة onRequestCredentials:

onRequestCredentials → onBeforeRequest → onBeforeSendHeaders → onSendHeaders → ...

سير العمل

  1. حقن الأرقام العشوائية: يقوم مدير كلمات المرور بملء صفحة الويب برقم عشوائي لكلمة المرور بدلاً من كلمة المرور الفعلية
  2. تسجيل رد الاتصال: تسجيل معالج رد اتصال onRequestCredentials في نفس الوقت
  3. الفحص الأمني: عند إرسال الصفحة، تنفيذ التحقق الأمني التالي:
    • التحقق من عدم عرض صفحة الويب في iFrame
    • التحقق من أن قناة الإرسال تستخدم اتصال HTTPS آمن
    • تأكيد تطابق الأصل مع إدخال مدير كلمات المرور
    • التحقق من عدم وجود الرقم العشوائي في معاملات GET
    • فحص صحة أسماء الحقول
  4. الاستبدال الآمن: إذا نجح التحقق، يقوم المتصفح باستبدال الرقم العشوائي بكلمة المرور الفعلية في كائن FormSubmission

تصميم الحماية من امتدادات ضارة

للتعامل مع تهديد الامتدادات الضارة، تم إجراء تعديلين رئيسيين:

  1. نقل onRequestCredentials إلى ما بعد جميع المراحل التي يمكنها الوصول إلى requestBody
  2. عرض requestBody قبل الاستبدال للامتدادات، مع إخفاء كلمة المرور الفعلية

تصميم قناة أمان FIDO2

نموذج التهديد

يواجه بروتوكول FIDO2 نوعين من الهجمات المحلية:

  1. تعديل قيم DOM: إعادة كتابة استدعاءات webAuthn API من خلال JavaScript ضار
  2. اعتراض الطلب والاستجابة: اعتراض طلبات HTTP والاستجابات من خلال الامتدادات

آليات الحماية

  1. معالجة الطلب: يضع الخادم حمولة FIDO2 الفعلية في رأس webauthn_request، وتحتوي استجابة الصفحة على قيم وهمية
  2. اعتراض الرأس: يزيل المتصفح رؤوس حساسة قبل أن تتمكن الامتدادات من الوصول إليها
  3. استبدال واجهة برمجية: استبدال القيم الوهمية بالقيم الفعلية داخل واجهة webAuthn API
  4. حماية الاستجابة: استبدال قيم الإرجاع من واجهة برمجية بقيم وهمية، مع تخزين القيم الفعلية بأمان
  5. النقل النهائي: استبدال القيم الوهمية باستجابة FIDO2 الفعلية عند إرسال طلب إلى نقطة نهاية محددة

إعداد التجربة

بيئة الاختبار

  • المتصفح: Mozilla Firefox 107.0 (حماية كلمات المرور) و 104.0a1 (حماية FIDO2)
  • مدير كلمات المرور: نسخة معدلة من Bitwarden
  • مواقع الاختبار: 573 موقع يحتوي على صفحات تسجيل دخول من أفضل 1000 موقع في Alexa

مؤشرات التقييم

  1. التوافق: نسبة مئوية من المواقع التي تعمل بشكل طبيعي
  2. الأمان: فعالية الحماية من هجمات DOM والامتدادات
  3. الحمل الإضافي للأداء: زيادة وقت معالجة الطلب

الطرق المقارنة

  • متصفح Firefox غير معدل كخط أساس
  • استخدام خادم وكيل لتسجيل جميع طلبات الشبكة الصادرة للمقارنة

نتائج التجربة

النتائج الرئيسية

توافق حماية كلمات المرور

  • توافق 97%: 554/573 موقع متوافق تماماً
  • توافق جزئي 2%: 11/573 موقع يفشل بسبب حساب تجزئة كلمة المرور في DOM
  • عدم توافق 1%: 8/573 مواقع تعديل تنسيق كلمة المرور قبل الإرسال

التحقق من الأمان

  • منع ناجح لجميع هجمات DOM المختبرة (XSS، حقن JavaScript ضار)
  • حجب فعال لامتدادات ضارة من سرقة كلمات المرور عبر webRequest API
  • تحديد ومنع تهديدات الهجمات الانعكاسية

الحمل الإضافي للأداء

  • متوسط وقت الطلب عند الحاجة للاستبدال: 4.5222 ثانية
  • وقت عملية الاستبدال: 0.443 ثانية (10.6% من الوقت الإجمالي)
  • عدم وجود تأثير قابل للقياس على الأداء عند عدم الحاجة للاستبدال

نتائج حماية FIDO2

  • توافق 100% للمواقع (يتطلب تعديل 2-3 أسطر على جانب الخادم)
  • منع ناجح لجميع هجمات DOM والامتدادات المختبرة
  • تنفيذ المساءلة الكاملة للجلسة

الأعمال ذات الصلة

أبحاث أمان مديري كلمات المرور

يركز البحث الموجود بشكل أساسي على الأمان الشامل لمديري كلمات المرور، بما في ذلك:

  • تحليل أمان توليد وتخزين وملء كلمات المرور
  • تحديد الثغرات في عملية الملء التلقائي
  • مشاكل أمان مديري كلمات المرور على الأجهزة المحمولة

آليات أمان المتصفح

يتضمن البحث ذو الصلة بأمان المتصفح:

  • سياسة نفس الأصل وسياسة أمان المحتوى
  • نموذج أذونات امتدادات المتصفح
  • أمان بروتوكول WebAuthn و FIDO2

موضع مساهمة هذه الورقة

توفر هذه الورقة أول تنفيذ عملي لبروتوكول Stock و Johns، مما يملأ فجوة بحثية استمرت عقداً من الزمان، وتوسع الحماية إلى بروتوكول FIDO2.

الاستنتاج والمناقشة

الاستنتاجات الرئيسية

  1. إثبات العملية: تنفيذ ناجح لقناة نقل كلمات مرور آمنة في المتصفحات الحديثة
  2. التوافق الواسع: متوافق مع الغالبية العظمى من المواقع الرئيسية، مع جدوى عملية عالية للنشر
  3. تحسين الأمان: حماية فعالة من تهديدات هجمات محلية متعددة
  4. القابلية للتوسع: يمكن توسيع التصميم لحماية تفاعلات متصفح-خادم أخرى

القيود

  1. عدم توافق 3% من المواقع: يرجع بشكل أساسي إلى معالجة كلمات المرور على جانب العميل
  2. الحمل الإضافي للأداء: لعملية الاستبدال تكلفة زمنية معينة
  3. متطلبات تعديل المتصفح: يتطلب اعتماد مصنعي المتصفحات لتعديلات واجهة برمجية
  4. تعديل خادم FIDO2: على الرغم من أنه صغير، لا يزال يتطلب تعاوناً على جانب الخادم

الاتجاهات المستقبلية

  1. تحسين التوافق: من خلال تحليل البرامج تحديد ومعالجة JavaScript ذات الصلة تلقائياً
  2. التوسع إلى الإدخال اليدوي: حماية كلمات المرور المدخلة يدوياً من قبل المستخدمين
  3. كشف الهجمات: الاستفادة من آلية الأرقام العشوائية لكشف وإبلاغ الهجمات
  4. حماية واجهات برمجية أخرى: توسيع التصميم إلى واجهات برمجية متصفح أخرى مثل الحافظة ونظام الملفات

التقييم المتعمق

المزايا

  1. قيمة عملية عالية: حل مشكلة أمان فعلية تؤثر على عشرات الملايين من مستخدمي مديري كلمات المرور
  2. تنفيذ هندسي كامل: توفير تنفيذ Firefox كامل وإرشادات نقل مفصلة
  3. تقييم شامل: يتضمن تقييماً متكاملاً للأمان والتوافق والأداء
  4. توسيع نظري: توسيع ناجح للمفهوم إلى بروتوكول FIDO2
  5. ردود فعل صناعية: الحصول على ردود فعل إيجابية من مصنعي المتصفحات وفريق مديري كلمات المرور

أوجه القصور

  1. تحديات النشر: يتطلب تعاون مصنعي المتصفحات، مع عدم اليقين في الترويج
  2. مشاكل التوافق: لا تزال هناك مشاكل توافق مع 3% من المواقع
  3. قيود نموذج التهديد: لا يحمي من هجمات مستوى نظام التشغيل أو هجمات رجل في الوسط على TLS
  4. خطر الارتباك لدى المستخدمين: قد يشعر المستخدمون بالارتباك من كلمات المرور العشوائية المعروضة

التأثير

  1. المساهمة الأكاديمية: إعادة تنشيط اتجاه بحثي توقف قبل عقد من الزمان
  2. القيمة العملية: توفير تحسينات أمان فورية لعشرات الملايين من المستخدمين
  3. إمكانية التوحيد: احتمال التوحيد من خلال معايير W3C لدفع الاعتماد الواسع
  4. الإلهام البحثي: توفير نموذج تصميم لحماية واجهات برمجية متصفح أخرى

السيناريوهات المعمول بها

  1. البيئات الحكومية: نشر المؤسسات ذات متطلبات الأمان العالية
  2. الحسابات ذات القيمة العالية: المصادقة في الخدمات المهمة مثل البنوك والحكومة
  3. مستخدمو الوعي الأمني: مجموعات المستخدمين ذوي المتطلبات العالية للخصوصية والأمان
  4. النماذج الأولية البحثية: توفير منصة أساسية لأبحاث أمان المتصفح الإضافية

المراجع

تستشهد هذه الورقة بـ 47 مرجعاً ذا صلة، يتضمن بشكل أساسي:

  • ورقة بروتوكول استبدال الأرقام العشوائية الأصلية لـ Stock و Johns
  • الأبحاث ذات الصلة بتحليل أمان مديري كلمات المرور
  • الأبحاث التجريبية حول تهديدات أمان امتدادات المتصفح
  • أدبيات تحليل أمان بروتوكول FIDO2
  • الأبحاث الحالية حول متتبعات الويب وهجمات XSS

التقييم الشامل: هذه ورقة بحثية مهمة في مجال أمان الأنظمة تتمتع بقيمة عملية كبيرة، حيث نجحت في تحويل التصاميم النظرية إلى نظام نموذجي قابل للعمل، والتحقق من فعاليته من خلال تجارب شاملة. لا تحل الورقة مشكلة أمان مهمة في العالم الحقيقي فحسب، بل تفتح أيضاً اتجاهات جديدة للبحث المستقبلي. على الرغم من مواجهة تحديات في النشر والتوافق، فإن مساهماتها التقنية وقيمتها العملية تجعلها تقدماً مهماً في مجال أمان المتصفح.