Preisträger 2018 – 3. Preis

DOMPurify

Client-Side Protection against Cross-Site-Scripting (XSS)

Den dritten Preis erhielten Dr. Mario Heiderich, Cure53 aus Berlin, und Prof. Dr. Jörg Schwenk, Ruhr-Universität Bochum, für ihre Javascript-Bibliothek zum Schutz vor Cross-Site-Scripting.

its-preis_2018_Logo

Dr. Mario Heiderich (links) und Prof. Dr. Jörg Schwenk mit dem Stifter Dr. Horst Görtz (Mitte).

Welches Ziel verfolgt das Projekt?
DOMPurify erlaubt Web-Apps, Browser-Erweiterungen, Desktop Applikationen auf Electron-Basis und vielen anderen Tools, die HTML und JavaScript nutzen, den sicheren Umgang mit potentiell unsicherem HTML. DOMPurify wird bereits heute in Skype, Google‘s AMP, Web-Mailern und vielen anderen Tools eingesetzt und strebt an, einen Standard für sicheres HTML zu etablieren und somit Angriffe wie XSS in modernen Applikation weitgehend unmöglich zu machen. Aktuell arbeitet das Team an einem auf DOMPurify basierenden W3C Standard.

Was ist daran besonders innovativ?
Klassische HTML-Sanitizer basieren auf serverseitigen Skripten, die zumeist dem HTML Standard folgen, aber keine Kenntnis über Eigenheiten der vom zu schützenden Nutzer verwendeten Browser haben. DOMPurify hingegen wird direkt im Browser eingesetzt, ist also immun gegen fast alle Sicherheitslücken, die in Vergangenheit die serverseitigen Tools plagten. Zudem eignet sich DOMPurify auch für Crypto-Messenger – die natürlich serverseitig gar nicht vor XSS geschützt werden können, wie Skype, Mailvelope und viele andere.

Welchen Mehrwert hat das Projekt?
DOMPurify hilft Entwicklern und Sicherheitsarchitekten, die Nutzer der eigenen Applikationen besser vor XSS Attacken zu schützen. DOMPurify bietet ausgezeichnete Performance, einfache intuitive Einbindung und ein produktfreundliches Open-Source Lizenzmodell. DOMPurify wird u.a. eingesetzt von:
▪  Crypto-Messenger und Ende-zu-Ende Verschlüsselungs-Tools
▪  Web-Mailer und Rich-Text Editoren
▪  Moderne JavaScript Frameworks und Templating Engines
▪  Content-Aggregatoren und News-Portale

Kontakt zu den Preisträgern:

Dr. Mario Heiderich
Cure53, Berlin
E-Mail: mario.heiderich@cure53.de

Prof. Dr. Jörg Schwenk
Ruhr-Universität Bochum
E-Mail: joerg.schwenk@rub.de

« zurück