VERBESSERUNG DER CLIENTSEITIGEN WEB-SICHERHEIT. OPTIMIERTE ANALYSEN SERVERSEITIGER ANWENDUNGEN. BENACHRICHTIGUNGEN ÜBER SCHWACHSTELLEN.
Seit den bescheidenen Anfängen des bloßen Informationsaustauschs hat sich das Web rasch zum wichtigsten und in hohem Maße interaktiven Motor des modernen Lebens, der Gesellschaft und der Wirtschaft entwickelt, da es unter anderem das Abrufen von Informationen, den sozialen Austausch und das Online-Shopping ermöglicht. Mit diesem massiven Bedeutungszuwachs sind die Schwachstellen in Web-Anwendungen zu einer enormen Bedrohung für die Benutzer:innen und ihre sensiblen Daten geworden. Im Bereich der Web-Sicherheit wollen wir neue Bedrohungen verstehen, Mechanismen zu ihrer Erkennung und Eindämmung entwickeln sowie Mittel zur automatischen Sicherung von Anwendungen untersuchen.
Verbesserung der clientseitigen Web-Sicherheit. Um eine nahtlose Nutzung von Web-Anwendungen zu ermöglichen, hat sich in den letzten Jahren eine Verlagerung von rein serverseitigem Code hin zu reichhaltigen, clientseitigen Anwendungen gezeigt. Diese Verschiebung erhöht auch die Komplexität des clientseitigen Codes und damit die Angriffsfläche. Wir entwickeln daher neuartige Methoden, um bekannte Klassen von Fehlern im clientseitigen Code automatisch zu finden, wobei wir die einzigartige Situation nutzen, dass eine clientseitige Anwendung in einer Art Whitebox getestet werden kann. Darüber hinaus untersuchen wir neue Klassen von Angriffen und schlagen Gegenmaßnahmen vor.
Optimierte Analysen serverseitiger Anwendungen. Auch wenn der Client an Bedeutung gewinnt, befindet sich immer noch ein erheblicher Teil der Anwendung auf dem Server. Wir untersuchen daher Techniken zur Entdeckung serverseitiger Fehler, wie z.B. Cross-Site Request Forgery, Cross-Site Scripting oder SQL-Injections. Unser Hauptaugenmerk liegt auf leichtgewichtigen Ansätzen, mit denen sich Anwendungen mit sehr großen Codebasen analysieren lassen.
Effiziente und effektive Benachrichtigung über Schwachstellen. Obwohl die Entdeckung vieler Arten von webbasierten Schwachstellen in den vergangenen Jahren im Fokus der Forscher:innen stand, wurde dem vielleicht wichtigsten Aspekt - der Benachrichtigung der Betroffenen - kaum Aufmerksamkeit geschenkt. Unser Ziel ist es, diese Lücke zu schließen, indem wir untersuchen, wie wir betroffene Parteien effektiv und in großem Maßstab informieren und sie dazu bringen können, Korrekturen anzuwenden und ihre Web-Anwendungen und Infrastruktur zu sichern. Dies beinhaltet die Untersuchung technischer Massnahmen (wie z.B. Kommunikationskanäle), zielt aber vor allem auch darauf ab, zu verstehen, wie technische Details am besten so dargestellt werden können, dass auch Laien-Nutzer:innen die Schwachstellen verstehen und beheben können.