Trust Origin and Establishment with JavaScript Applications

Abstract

Web-teknologioiden avulla toteutetut sovellukset ovat kasvava trendi. Yksi merkittävä teknologia on JavaScript-ohjelmointikieli, jonka suosio on kasvanut Web-selainten myötä. Nykyään Ajax-tyylisen ohjelmoinnin lisäksi JavaScript-kielellä tehdään myös itsenäisiä asennettavia sovelluksia. Yksi esimerkki asennettavista sovelluksista on JavaScript-sovellukset, jotka toteuttavat W3C Widgets 1.0 -spesifikaation.

Tietoturva on tärkeässä osassa mainittujen sovelluksien tulevaisuuden kannalta. Usein sovelluksilla on pääsy arvokkaaseen ja arkaluonteiseen tietoon joko Web- tai ajoalustarajapintojen kautta. On tärkeää pystyä selvittävään, kuinka luottamus sovelluksia kohtaan syntyy ja mihin se voidaan perustaa. Sovellukset voivat olla toteutettuja haitallisiin tarkoituksiin, mutta loppukäyttäjän voi olla vaikea erottaa niitä vaarattomista sovelluksista. Digitaalisia allekirjoituksia ja varmenteita on käytetty todentamaan sovellusten alkuperä ja täten auttamaan käyttäjiä tekemään valintoja tai valtuuttamaan luotettu taho arvioimaan sovellusten luotettavuutta. Niiden käyttäminen tuo haittapuolia, jotka vaikeuttavat sovellusten kehittämistä, jakelua ja käyttöönottoa.

Tässä diplomityössä suunnitellaan, toteutetaan ja arvioidaan vaihtoehtoinen tapa perustaa luottamus. Ehdotettu menetelmä perustuu Internetin Domain Name System -nimipalvelujärjestelmään. Siinä luottamus perustetaan sovelluksen alkuperään verkkotunnuksen perusteella. Ehdotettu menetelmä on toteutettu laajennuksena W3C Widgets 1.0 -spesifikaatioon ja sen todetaan tuovan etuja monen sovellusten ekosysteemiin kuuluvien tahojen kannalta.

Applications written with Web technologies are a growing trend. Web technologies include the JavaScript programming language which has become popular due to its support in modern Web browsers. Today JavaScript is also used to implement installable stand-alone applications in addition to Ajax-style programming. An example of such stand-alone applications are widgets that conform to the W3C Widgets 1.0 specification.

Security is a key concern with these kind of applications because they often have an access to sensitive and valuable information through Web or platform interfaces. One of the main challenges is to determine how to establish trust towards an application. Applications can be benevolent or malicious, but the difference is hard to tell by an end-user. Digital signatures and certificates have been used to help end-users in making a trust decision and to delegate trustworthiness evaluation to trusted parties. These mechanisms have drawbacks that make application development, distribution and adoption more difficult.

In this thesis a new trust establishment mechanism is proposed that helps to deal with the drawbacks. It is based on the Domain Name System and utilizes the originating domain of applications. An implementation of the proposed mechanism is provided on top of the W3C Widgets 1.0 specification and the implementation is evaluated against design requirements. The new mechanism is recognized to bring many benefits to the different parties of the widget ecosystem.