Beschreibung und Analyse der W3C Browser Push APIs

Abstract

Die W3C Push API bietet die Möglichkeit der asynchronen Kommunikation zwischen einem Browser und einem Anwendungsserver. Der Anwendungsserver kann Push Nachrichten an einen Push Service senden. Der Push Service speichert die Nachricht bis der Browser erreichbar ist oder die Nachricht verfällt. Wenn der Browser die Push Nachricht erhält, wird die Push Nachricht an den Service Worker weitergeleitet, der die Nachricht verarbeitet und gegebenenfalls dem Nutzer anzeigt. In dieser Arbeit wird die W3C Push API zunächst abstrakt beschrieben und darauf aufbauend eine informelle Sicherheitsanalyse durchgeführt. Dafür werden zunächst die der Analyse zu Grunde liegenden Angreifermodelle und Annahmen definiert. Anschließend werden die Sicherheitsziele Vertraulichkeit, Privacy, Verfügbarkeit, Authentifizierung, Autorisierung und Session Integrität untersucht. In der Analyse konnten dabei keine neuen, gravierenden Sicherheitsprobleme festgestellt werden. Anschließend wird die Implementierung der Push API in Firefox näher betrachtet. Dabei wird der Push Service autopush beschrieben und es werden die zusätzlichen Sicherheitsmaßnahmen aufgezählt.