Исследователи из Массачусетского технологического института предложили новый способ защиты веб-приложений от утечки данных. Разработанная ими платформа Mylar предполагает шифрование конфиденциальной информации на сервере с использованием стойкой криптографии, так что даже в случае взлома системы злоумышленник не сможет получить доступ к данным. Расшифровка происходит «на лету» в браузерах пользователей.
Информация каждого пользователя шифруется его личным паролем, а просмотр возможен только в его собственном браузере. Mylar обеспечивает эффективный способ управления данными, даже если они зашифрованы разными ключами. Кроме того, Mylar позволяет пользователям безопасно обмениваться данными в присутствии потенциального злоумышленника. В конце концов, Mylar гарантирует аутентичность кода клиент-серверного приложения даже при хостинге на сервере злоумышленника.
Концептуальный прототип Mylar разработан в виде расширения к фреймворку Meteor. Первые тесты на шести веб-приложениях показали многообещающий результат: для каждого из приложений понадобилось изменить, в среднем, 35 строчек кода, задержка в чате увеличилась всего на 50 мс, а производительность серверов снизилась лишь на 17%.
Платформа Mylar призвана избавить веб-приложения от угрозы хакерской атаки или прослушки со стороны спецслужб, и даже в случае конфискации серверов правоохранительными органами в их руки попадет лишь зашифрованный архив.
Научную работу выложат в открытый доступ в апреле, после начала конференции Usenix Symposium on Networks Systems Design and Implementation.
Одна из авторов научной работы Ралука Попа (Raluca Popa) раньше возглавляла разработку криптографической СУБД CryptDB, которая сейчас используется в Google, SAP и других компаниях.
