02 web browsers and web applications
play

02. Web browsers and Web applications Nataliia Bielova - PowerPoint PPT Presentation

Sep 11, 2022 •271 likes •647 views

02. Web browsers and Web applications Nataliia Bielova @nataliabielova September 17 th , 2018 Web Privacy course University of Trento Today s class What is Web

  1. 02. ¡Web ¡browsers ¡and ¡ Web ¡applications ¡ Nataliia ¡Bielova ¡ @nataliabielova September ¡17 th , ¡2018 Web ¡Privacy ¡course University ¡of ¡Trento

  2. Today ’ s class • What ¡is ¡Web ¡browser ¡and ¡how ¡does ¡it ¡work? • Web ¡application ¡architecture • Cookies ¡and ¡JavaScript • Basic ¡browser ¡security ¡mechanisms § Same ¡Origin ¡Policy 2

  3. Web evolution 2000 ¡Web ¡2.0 1995 ¡Dynamic ¡web 1990 ¡Static ¡web See ¡more ¡http://www.evolutionoftheweb.com 3 Slide ¡of ¡Tamara ¡Rezk

  4. Web Applications are everywhere • Users ¡generate ¡data ¡ while ¡using ¡applications § Identity ¡ § Preferences, ¡tastes § Financial ¡situation Photo ¡ Bank Editing § Social ¡life E-­‑mail ¡ Social ¡ Service Network 4 Slide ¡of ¡Tamara ¡Rezk

  5. HTTP : HyperText Transfer Protocol URL ¡path: ¡bbc.co.uk/news Parameters Web ¡browser Web ¡server Method: ¡GET … HTTP request HTTP ¡response Status: ¡200 ¡OK Content: ¡HTML ¡page … -­‑ Mapping ¡requests ¡to ¡apps -­‑ Rendering ¡pages -­‑ Contacting ¡DBs -­‑ Executing ¡scripts/plugins ¡ -­‑ Constructing ¡responses (JavaScript) -­‑ Launching ¡new ¡HTTP ¡requests 5

  6. HTTP : HyperText Transfer Protocol • HTTP ¡important ¡characteristic: ¡no ¡State ¡ ¡ request/response ¡-­‑ each ¡request ¡is ¡ independent • HTTP ¡header: ¡header ¡section ¡of ¡requests ¡and ¡ responses, ¡parameters ¡of ¡the ¡HTTP ¡ transaction Slide ¡of ¡Tamara ¡Rezk

  7. HTTP Request Method URL Protocol ¡Version GET /index.html HTTP/1.1 Host: www.example.com User-Agent: Mozilla/5.0 Accept: text/html, */* Headers Accept-Language: en-us Accept-Charset: ISO-8859-1,utf- 8 Connection: keep-alive blank ¡line Body (optional) Slide ¡of ¡Tamara ¡Rezk

  8. HTTP Response Version Status Status ¡Message HTTP/1.1 200 OK Date: Thu, 24 Jul 2008 17:36:27 GMT Headers Server: Apache-Coyote/1.1 Content-Type: text/html;charset=UTF- 8 Content-Length: 1846 blank ¡line <html> ... Body </html> Slide ¡of ¡Tamara ¡Rezk

  9. Uniform Resource Locators ( URLs ) Scheme Port ¡Number Query http://www.company.com:81/a/b/c.html?user=Alice&year=2008#p2 Host ¡Name Hierarchical ¡portion Fragment Slide ¡of ¡Tamara ¡Rezk

  10. How to keep state in Web applications ? 10

  11. HTTP : Session in URL Example http://www.buy.com see ¡catalog http://www.buy.com /shopping.cfm?pID=269 select ¡item http://www.buy.com /shopping.cfm?pID=269&item=40002 buy ¡item http://www.buy.com /checkout.cfm?pID=269&item=40002 Since ¡HTTP ¡is ¡stateless ¡all ¡session ¡information ¡is ¡saved ¡in ¡the ¡URL! Thanks ¡Ricardo ¡Corin ¡for ¡this ¡slide Slide ¡of ¡Tamara ¡Rezk

  12. HTTP : Session in cookies URL ¡path: ¡bbc.co.uk/news Parameters Web ¡browser Web ¡server Method: ¡GET … HTTP request HTTP ¡response Status: ¡200 ¡OK Content: ¡HTML ¡page Set-­‑cookies: ¡session-­‑id= 2082787201l & ¡… … 12

  13. HTTP : Session in cookies URL ¡path: ¡bbc.co.uk/news Parameters Web ¡browser Web ¡server Method: ¡GET … HTTP request HTTP ¡response Status: ¡200 ¡OK Content: ¡HTML ¡page Cookie ¡Database Set-­‑cookies: ¡session-­‑id= 2082787201l & ¡… bbc.co.uk/news: … session-id= 2082787201l 2082787201l 13

  14. HTTP : Session in cookies URL ¡path: ¡bbc.co.uk/news... Method: ¡GET Web ¡browser Web ¡server Cookies: ¡session-­‑id= 2082787201l & ¡… … HTTP request Cookie ¡Database bbc.co.uk/news: session-id= 2082787201l 2082787201l 14

  15. Cookies 15

  16. What is a cookie ? • A ¡small ¡piece ¡of ¡data, ¡sent ¡by ¡the ¡HTTP ¡server ¡ in ¡an ¡HTTP ¡response, ¡stored ¡by ¡the ¡client, ¡and ¡ sent ¡back ¡by ¡the ¡client ¡to ¡the ¡server ¡in ¡all ¡ further ¡responses. ¡ • A ¡cookie ¡may ¡also ¡be ¡set ¡and ¡read ¡directly ¡in ¡ the ¡client ¡by ¡some ¡JavaScript ¡code. ¡ 16 From ¡slides ¡of ¡Vincent ¡Simonet

  17. What ’ s the original use of cookies ? • Keep ¡the ¡session ¡through ¡ different ¡windows/tabs • Shopping ¡basket 17

  18. Profitable uses of cookies • Personalization: ¡ remember ¡the ¡information ¡ about ¡the ¡user ¡who ¡has ¡visited ¡a ¡website ¡in ¡ order ¡to ¡show ¡relevant ¡content ¡in ¡the ¡future ¡ • Tracking: ¡ following ¡the ¡user ¡during ¡a ¡session ¡ or ¡across ¡multiple ¡visits. ¡ 18 From ¡slides ¡of ¡Vincent ¡Simonet

  19. Structure of a Cookie • A ¡name, ¡ • A ¡value, ¡ • An ¡expiry ¡date, ¡ • A ¡domain ¡and ¡a ¡path ¡the ¡cookie ¡is ¡settled ¡for, ¡ • Whether ¡we ¡need ¡a ¡secure ¡connection ¡ (HTTPS) ¡for ¡the ¡cookie, ¡ • Whether ¡the ¡cookie ¡can ¡be ¡accessed ¡through ¡ other ¡means ¡than ¡HTTP ¡(i.e. ¡JavaScript). ¡ 19 From ¡slides ¡of ¡Vincent ¡Simonet

  20. Types of cookies • Session ¡cookie: ¡ cookie ¡without ¡expiry ¡date. ¡ Disappears ¡when ¡the ¡browser ¡is ¡closed. ¡ • Persistent ¡cookie: ¡ cookie ¡with ¡an ¡expiry ¡date. ¡ Remains ¡until ¡this ¡date, ¡even ¡if ¡the ¡browser ¡is ¡ closed. ¡ • Secure ¡cookie: ¡ sent ¡only ¡in ¡HTTPS ¡requests. ¡ • HttpOnly cookie: ¡ non-­‑accessible ¡from ¡JavaScript. ¡ • Third-­‑party ¡cookie: ¡ a ¡cookie ¡from ¡another ¡ domain ¡than ¡the ¡domain ¡that ¡is ¡shown ¡in ¡the ¡ browser's ¡address ¡bar. ¡ 20 From ¡slides ¡of ¡Vincent ¡Simonet

  21. Example of Cookie in the HTTP Protocol • 1st ¡HTTP ¡request ¡(client): GET /index.html HTTP/1.1 • 1st ¡HTTP ¡response ¡(server): HTTP/1.0 200 OK Set-Cookie: name=value Set-Cookie: name2=value2; Expires=Wed, 09 Jun 2021 10:18:14 GMT • 2nd ¡HTTP ¡request ¡(client): GET /spec.html HTTP/1.1 Host: www.example.org Cookie: name=value; name2=value2 21 From ¡slides ¡of ¡Vincent ¡Simonet

  22. Example of cookies with domain and path • Set-Cookie: LSID=DQAAAK...Eaem_vYg; Domain=docs.foo.com; Path=/accounts; Expires=Wed, 13 Jan 2021 22:23:01 GMT; Secure; HttpOnly • Set-Cookie: HSID=AYQEVn....DKrdst; Domain=. foo.com; Path=/; Expires=Wed, 13 Jan 2021 22:23:01 GMT; HttpOnly • If ¡not ¡specified, ¡they ¡default ¡to ¡the ¡domain ¡and ¡path ¡of ¡the ¡ object ¡that ¡was ¡requested. ¡ • Cookies ¡can ¡only ¡be ¡set ¡on ¡the ¡top ¡domain ¡and ¡its ¡sub ¡ domains ¡ 22 From ¡slides ¡of ¡Vincent ¡Simonet

  23. Basic browser security : Same Origin Policy 23

  24. newchic.com facebook.com doubleclick.net pinterest.com google-­‑analytics.com yandex.ru twitter.com yahoo.com yimg.com 24

  25. Same origin policy : high level Same ¡Origin ¡Policy ¡(SOP) ¡for ¡DOM: § Origin ¡A ¡can ¡access ¡origin ¡B’s ¡DOM ¡if ¡match ¡on (scheme, ¡ ¡domain, ¡ ¡port) Same ¡Original ¡Policy ¡(SOP) ¡for ¡cookies: ¡ § Generally ¡speaking, ¡based ¡on: ([scheme], ¡ ¡domain, ¡ ¡ path ) optional scheme://domain:port/path?params Slide ¡of ¡Tamara ¡Rezk

  26. URL1 ¡and ¡URL2 ¡are ¡same-­‑origin? ¡ URL1: ¡ http://www.example.com/dir/page.html Compared ¡URL2 Outcome Reason ✔ http://www.example.com /dir/page.html Same ¡protocol ¡and ¡host http://www.example.com /dir2/other.html ✔ Same ¡protocol ¡and ¡host ❌ http://www.example.com:81 /dir/page.html Same ¡protocol ¡and ¡host but ¡different ¡port ❌ https://www.example.com /dir/page.html Different ¡protocol ❌ http://example.com /dir/page.html Different ¡host ❌ Different ¡host http://v2.www.example.com /dir/page.html 26

  27. In ¡what ¡origin ¡each ¡script ¡is ¡running? a.com b.com a.com <script src=b.com/script.js> JavaScript ¡1 c.com <iframe src=b.com/main.html> Html ¡page ¡+ ¡ <script src=c.com/script.js> JavaScript ¡2 </iframe> 27

  28. In ¡what ¡origin ¡each ¡script ¡is ¡running? a.com b.com a.com <script src=b.com/script.js> JavaScript ¡1 JavaScript ¡1 c.com <iframe src=b.com/main.html> Html ¡page ¡+ ¡ <script src=c.com/script.js> JavaScript ¡2 JavaScript ¡2 </iframe> 28

Recommend

Print Books with Browsers Designing books in browsers using Paged.js Julie Blanc (@julieblancfr)

Print Books with Browsers Designing books in browsers using Paged.js Julie Blanc (@julieblancfr)

Print Books with Browsers Designing books in browsers using Paged.js Julie Blanc (@julieblancfr) Digital Publishing Summit May 26, 2019 Automated typesetting and pagination for print Make PDF outputs of HTML contents from browsers Flux

823 views • 67 slides
chromozoom.org rethinking the UI of genome browsers Ted Pak Roth Laboratory Donnelly Centre,

chromozoom.org rethinking the UI of genome browsers Ted Pak Roth Laboratory Donnelly Centre,

chromozoom.org rethinking the UI of genome browsers Ted Pak Roth Laboratory Donnelly Centre, University of Toronto Samuel Lunenfeld Research Institute, Mt. Sinai Hospital genome browsers: lots of data small viewable area UCSC, GBrowse,

418 views • 24 slides
Trusted Browsers for Uncertain Times David Kohlbrenner and Hovav Shacham UC San Diego Building

Trusted Browsers for Uncertain Times David Kohlbrenner and Hovav Shacham UC San Diego Building

Trusted Browsers for Uncertain Times David Kohlbrenner and Hovav Shacham UC San Diego Building a browser that can provably mitigate timing attacks Trusted Browsers Time and web browsers Mitigating attacks for A trusted browser

1.39k views • 85 slides
Producing media content for the browsers using GPAC Romain Bouqueau (GPAC Licensing) Cyril

Producing media content for the browsers using GPAC Romain Bouqueau (GPAC Licensing) Cyril

Producing media content for the browsers using GPAC Romain Bouqueau (GPAC Licensing) Cyril Concolato (Telecom ParisTech) 1 GPAC - FOSDEM 2015 Web &amp; Media Web Browsers are more and more capable of playing media data Either simply

171 views • 16 slides
Why are Web Browsers Slow on Smartphones? Zhen Wang (Rice) Felix Xiaozhu Lin (Rice) Lin Zhong

Why are Web Browsers Slow on Smartphones? Zhen Wang (Rice) Felix Xiaozhu Lin (Rice) Lin Zhong

Why are Web Browsers Slow on Smartphones? Zhen Wang (Rice) Felix Xiaozhu Lin (Rice) Lin Zhong (Rice) Mansoor Chishtie (TI) WINDOW TO THE CLOUD 2 Mobile browsers are slow 17 sec Nexus One (N1) HTC Dream (G1) 13 sec 12 sec 8 sec Top 10

745 views • 58 slides
Ruby on Rails SWEN 250 Personal Software Engineering How Websites Work Browsers send HTTP

Ruby on Rails SWEN 250 Personal Software Engineering How Websites Work Browsers send HTTP

Web Applications &amp; Ruby on Rails SWEN 250 Personal Software Engineering How Websites Work Browsers send HTTP requests to a Server Servers send back HTTP responses HTTP requests &amp; responses are newline-delimited strings with:

447 views • 9 slides
An Analysis of Private Browsing Modes in Modern Browsers

An Analysis of Private Browsing Modes in Modern Browsers

Stanford Computer Security Lab An Analysis of Private Browsing Modes in Modern Browsers Gaurav Aggarwal, Elie Bursztein, Collin Jackson, Dan Boneh Usenix

653 views • 40 slides
Applications and Applets An applet is a program delivered via the web security issues,

Applications and Applets An applet is a program delivered via the web security issues,

Applications and Applets An applet is a program delivered via the web security issues, sandbox model where does code/images/etc come from? How is it delivered? what browsers support the 1.1 AWT event model (what about 1.2)? Use

382 views • 3 slides
The PUNCH Portal to Internet Computing: Run Any Software Anywhere via WWW Browsers Nirav H.

The PUNCH Portal to Internet Computing: Run Any Software Anywhere via WWW Browsers Nirav H.

The PUNCH Portal to Internet Computing: Run Any Software Anywhere via WWW Browsers Nirav H. Kapadia Jos e A. B. Fortes Mark S. Lundstrom School of Electrical and Computer Engineering Purdue University I. Introduction to PUNCH II. System

950 views • 47 slides
Browsers: Critical Infrastructure Ubiquitous: many platforms, sensitive apps Vulnerable:

Browsers: Critical Infrastructure Ubiquitous: many platforms, sensitive apps Vulnerable:

Browser Security Guarantees through Formal Shim Verification Zachary Tatlock Dongseok Jang Sorin Lerner UC San Diego Browsers: Critical Infrastructure Ubiquitous: many platforms, sensitive apps Vulnerable: Pwn2Own, just a click to

862 views • 73 slides
Ensuring Resource Trust and Integrity in Web Browsers using Blockchain Technology Benjamin

Ensuring Resource Trust and Integrity in Web Browsers using Blockchain Technology Benjamin

Introduction Conceptual Overview Peer Review Process Conclusion Ensuring Resource Trust and Integrity in Web Browsers using Blockchain Technology Benjamin Leiding 1 Clemens H. Cap 2 1 University of Gttingen, Germany

476 views • 21 slides
How to Run your Favorite Language on Web Browsers The Revenge of Virtual Machines Paris, le 4

How to Run your Favorite Language on Web Browsers The Revenge of Virtual Machines Paris, le 4

Benjamin Canou, Emmanuel Chailloux and Jrme Vouillon . . . How to Run your Favorite Language on Web Browsers The Revenge of Virtual Machines Paris, le 4 octobre 2011 WWW 2012, Lyon, France . Introduction . . Introduction 3/20 What

341 views • 20 slides
Designing the Browser @joshcarpenter, Google Oct 19 2016, W3C WebVR Workshop All browsers

Designing the Browser @joshcarpenter, Google Oct 19 2016, W3C WebVR Workshop All browsers

Designing the Browser @joshcarpenter, Google Oct 19 2016, W3C WebVR Workshop All browsers should... No UI dead zones: Maximize for creative freedom of 360 experiences. Do not take away real estate from developers by persisting browser UI

499 views • 16 slides
Morellian Analysis for Browsers: Making Web Authentication Stronger With Canvas Fingerprinting

Morellian Analysis for Browsers: Making Web Authentication Stronger With Canvas Fingerprinting

Morellian Analysis for Browsers: Making Web Authentication Stronger With Canvas Fingerprinting Pierre Laperdrix , Gildas Avoine, Benoit Baudry, Nick Nikiforakis DIMVA 2019 In Introduction Web attacks and data breaches 2 Attacks on the

945 views • 66 slides
Sugar: Secure GPU Acceleration in Web Browsers Zhihao Yao , Zongheng Ma, Yingtong Liu, Ardalan

Sugar: Secure GPU Acceleration in Web Browsers Zhihao Yao , Zongheng Ma, Yingtong Liu, Ardalan

Sugar: Secure GPU Acceleration in Web Browsers Zhihao Yao , Zongheng Ma, Yingtong Liu, Ardalan Amiri Sani, Aparna Chandramowlishwaran Trustworthy Systems Lab, UC Irvine 1 WebGL was released in 2011 Source: https://www.google.com/map 2 WebGL

846 views • 59 slides
Real-Time Communica/on in Web-browsers (RTCWeb) Michael

Real-Time Communica/on in Web-browsers (RTCWeb) Michael

Real-Time Communica/on in Web-browsers (RTCWeb) Michael Txen (tuexen@=-muenster.de) Outline RTCWeb overview Peer to peer protocol stack RTCWeb

490 views • 22 slides
A Reference Architecture for Web Browsers Alan Grosskurth and Michael W. Godfrey Software

A Reference Architecture for Web Browsers Alan Grosskurth and Michael W. Godfrey Software

A Reference Architecture for Web Browsers Alan Grosskurth and Michael W. Godfrey Software Architecture Group (SWAG) School of Computer Science University of Waterloo, Waterloo, Canada { agrossku,migod } @uwaterloo.ca 2005.09.29 1 Overview

600 views • 13 slides
Luka Kladaric @allixsenos www.designeus.hr state of normal web? @allixsenos #mclj Web

Luka Kladaric @allixsenos www.designeus.hr state of normal web? @allixsenos #mclj Web

Luka Kladaric @allixsenos www.designeus.hr state of normal web? @allixsenos #mclj Web applications for Mobile its alive like never before new browsers, engines, frameworks &amp; languages @allixsenos #mclj Web applications for Mobile

433 views • 30 slides
Beauty and the Beast: Diverting modern web browsers to build unique browser fingerprints Pierre

Beauty and the Beast: Diverting modern web browsers to build unique browser fingerprints Pierre

Beauty and the Beast: Diverting modern web browsers to build unique browser fingerprints Pierre Laperdrix, Walter Rudametkin, Benoit Baudry 2/19 Example of a fingerprint Attribute Value User agent Mozilla/5.0 (X11; Linux i686; rv:25.0)

215 views • 19 slides
UCSC interactive ucscin.org rethinking the UI of genome browsers Ted Pak Roth Laboratory

UCSC interactive ucscin.org rethinking the UI of genome browsers Ted Pak Roth Laboratory

UCSC interactive ucscin.org rethinking the UI of genome browsers Ted Pak Roth Laboratory Donnelly Centre, University of Toronto Samuel Lunenfeld Research Institute, Mt. Sinai Hospital motivation live demo how it works motivation live

1.14k views • 77 slides
3D on the web: X3d Ruth Aylett Topics 3D on the web History of X3d Overview of X3d

3D on the web: X3d Ruth Aylett Topics 3D on the web History of X3d Overview of X3d

3D on the web: X3d Ruth Aylett Topics 3D on the web History of X3d Overview of X3d What is the problem? How to produce interactive 3D web-based applications? Running in everybody s browsers On whatever platform

951 views • 30 slides
Fidelius: Protecting User Secrets from Compromised Browsers Saba Eskandarian , Jonathan Cogan,

Fidelius: Protecting User Secrets from Compromised Browsers Saba Eskandarian , Jonathan Cogan,

Fidelius: Protecting User Secrets from Compromised Browsers Saba Eskandarian , Jonathan Cogan, Sawyer Birnbaum, Peh Chang Wei Brandon, Dillon Franke, Forest Fraser, Gaspar Garcia, Eric Gong, Hung T. Nguyen, Taresh K. Sethi, Vishal Subbiah,

718 views • 28 slides
Extension Breakdown: Security Analysis of Browsers Extension Resources Control Policies

Extension Breakdown: Security Analysis of Browsers Extension Resources Control Policies

Extension Breakdown: Security Analysis of Browsers Extension Resources Control Policies Iskander Sanchez-Rola, Igor Santos, Davide Balzarotti Extensions Browser extensions are the most popular technique currently available to extend the

722 views • 38 slides
Potree - Rendering Point Clouds in Web Browsers Markus Schtz, www.potree.org/ Potree Potree

Potree - Rendering Point Clouds in Web Browsers Markus Schtz, www.potree.org/ Potree Potree

Potree - Rendering Point Clouds in Web Browsers Markus Schtz, www.potree.org/ Potree Potree Web Viewer for large point clouds Uses WebGL / three.js No Plugins required Works on Chrome, Firefox, Safari on desktop PCs and mobile

568 views • 18 slides

More recommend