gulfstream
play

Gulfstream Staged Sta4c Analysis for Streaming JavaScript - PowerPoint PPT Presentation

Jan 29, 2023 •379 likes •661 views

Gulfstream Staged Sta4c Analysis for Streaming JavaScript Applica4ons Salvatore Guarnieri Ben Livshits University of Washington Microso3 Research Web applica4on

  1. Gulfstream ¡ Staged ¡Sta4c ¡Analysis ¡for ¡Streaming ¡JavaScript ¡Applica4ons ¡ Salvatore ¡Guarnieri ¡ Ben ¡Livshits ¡ University ¡of ¡Washington ¡ Microso3 ¡Research ¡

  2. Web ¡applica4on ¡ Web ¡page ¡ Third ¡Party ¡Server ¡ widget.js ¡ 2 ¡

  3. Safe ¡Code ¡Inclusion ¡In ¡JavaScript ¡ Run8me ¡Enforcement ¡ Sta8c ¡Analysis ¡ • Conscript ¡[Oakland ¡10] ¡ • Gatekeeper ¡[USENIX ¡Sec ¡09] ¡ • BrowserShield ¡[OSDI ¡06] ¡ • Staged ¡Informa4on ¡flow ¡for ¡ JavaScript ¡[PLDI ¡09] ¡ • Caja ¡ Whole ¡program ¡analysis ¡approaches ¡require ¡ the ¡en4re ¡program ¡ 3 ¡

  4. 4 ¡

  5. JavaScript ¡programs ¡are ¡streaming ¡ 5 ¡

  6. Script ¡Crea8on ¡ <HTML> � <HEAD> � <SCRIPT> � function foo(){...} � var f = foo; � </SCRIPT> � What ¡does ¡f ¡ <SCRIPT> � refer ¡to? ¡ function bar(){...} � if (...) f = bar; � </SCRIPT> � </HEAD> � <BODY onclick="f();"> ...</BODY> � </HTML> � 6 ¡

  7. Incremental ¡Loading ¡in ¡Facebook ¡ 250 ¡ 13 ¡ 200 ¡ 20 ¡ 29 ¡ Profile ¡ 150 ¡ Inbox ¡ KB ¡ Friends ¡ 100 ¡ Home ¡ 157 ¡ 71% ¡ 50 ¡ 0 ¡ 7 ¡

  8. Gulfstream ¡In ¡Ac8on ¡ ✔ ¡ Offline ¡ Online ¡ 8 ¡

  9. Gulfstream ¡In ¡Ac8on ¡ ✔ ¡ ✔ ¡ Offline ¡ Online ¡ 9 ¡

  10. Gulfstream ¡In ¡Ac8on ¡ ✔ ¡ Offline ¡ Online ¡ 10 ¡

  11. Outline ¡ • Mo4va4on ¡ • Implementa4on ¡ • Evalua4on ¡ • Conclusions ¡ 11 ¡

  12. Queries ¡ • We ¡want ¡to ¡determine ¡something ¡about ¡the ¡ program ¡ • Example ¡ – What ¡does ¡f() ¡refer ¡to ¡ – Detect ¡alert ¡calls ¡ – Does ¡this ¡program ¡use ¡setTimeout ¡ 12 ¡

  13. Points-­‑To ¡Analysis ¡ • Provides ¡deep ¡program ¡understanding ¡ • Can ¡be ¡used ¡to ¡construct ¡call ¡graphs ¡ • Is ¡the ¡founda4on ¡of ¡further ¡analyses ¡ • Answers ¡a ¡simple ¡ques4on: ¡What ¡heap ¡ loca4ons ¡does ¡ ¡variable ¡ x ¡point ¡to ¡ 13 ¡

  14. Points-­‑To ¡Example ¡ !" !# !$ !% !& /00 ' ) * ( +,-.# 314 122 +,-." +,-.% 1. var A = new Object(); 2. var B = new Object(); 145# 145" 3. x = new Object(); 4. x.foo = new Object(); 5. y = new Object(); 6. y.bar = x; 7. y.add = function(a, b) {} 8. y.add(A, B) 14 ¡

  15. Implementa8on ¡Strategies ¡ Datalog ¡with ¡bddbddb ¡ Graph-­‑based ¡flow ¡analysis ¡ + ¡Fast ¡for ¡large ¡programs ¡ + ¡Very ¡small ¡startup ¡cost ¡ + ¡Highly ¡tuned ¡ + ¡Customized ¡to ¡work ¡with ¡ Gulfstream ¡ -­‑ ¡Large ¡startup ¡cost ¡ -­‑ ¡Does ¡not ¡scale ¡well ¡ -­‑ ¡Difficult ¡to ¡implement ¡in ¡the ¡ browser ¡ • Used ¡in ¡Gatekeeper ¡[USENIX ¡ Sec ¡09] ¡ 15 ¡

  16. Implementa8on ¡ • Normalize ¡JavaScript ¡ – Turn ¡program ¡into ¡a ¡series ¡of ¡simple ¡statements ¡ – Introduce ¡temporaries ¡as ¡necessary ¡ • Create ¡flow ¡graph ¡– ¡Use ¡normalized ¡program ¡ to ¡generate ¡flow ¡constraints ¡ • Serialize ¡flow ¡graph ¡– ¡Encode ¡the ¡flow-­‑graph ¡ so ¡online ¡analysis ¡can ¡use ¡it ¡to ¡update ¡results ¡ 16 ¡

  17. Implementa8on ¡Con8nued ¡ • Perform ¡points-­‑to ¡analysis ¡ – Traverse ¡flow ¡graph ¡to ¡find ¡all ¡aliases ¡ – Follow ¡flow ¡through ¡method ¡boundaries ¡ – Generate ¡points-­‑to ¡map ¡for ¡queries ¡to ¡use ¡ • Queries ¡– ¡Use ¡points-­‑to ¡data ¡and ¡flow ¡graph ¡to ¡ answer ¡queries ¡ 17 ¡

  18. Evalua8on ¡ • Ques4on ¡– ¡Is ¡Gulfstream ¡faster ¡than ¡non-­‑staged ¡ analysis ¡ • Benchmarks ¡ – Synthe4cally ¡generated ¡ – Scraped ¡from ¡Google ¡code ¡ – Scraped ¡from ¡Facebook ¡ • Simulate ¡diverse ¡environments ¡ – CPU ¡speed ¡and ¡network ¡proper4es ¡ – Cell ¡phone, ¡laptop, ¡desktop, ¡etc. ¡ 18 ¡

  19. Laptop ¡Running ¡Time ¡Comparison ¡ Gulfstream ¡ Full ¡Analysis ¡ bddbddb ¡ 8 ¡ Aner ¡30KB ¡of ¡updates, ¡ 7 ¡ Gulfstream ¡is ¡no ¡longer ¡ 6 ¡ faster ¡ 5 ¡ Seconds ¡ 4 ¡ 3 ¡ 2 ¡ 1 ¡ 0 ¡ 30 ¡ 35 ¡ 40 ¡ 45 ¡ 50 ¡ 55 ¡ 60 ¡ 65 ¡ Total ¡Page ¡Size ¡(KB) ¡ 19 ¡

  20. Simulated ¡Devices ¡ • Low ¡power ¡mobile ¡ • High ¡power ¡ 20 ¡

  21. Simulated ¡Devices ¡ • Low ¡power ¡mobile ¡ • High ¡power ¡ 21 ¡

  22. Lessons ¡Learned ¡ • Slow ¡devices ¡ benefit ¡from ¡Gulfstream ¡ • A ¡ slow ¡network ¡ can ¡negate ¡the ¡benefits ¡of ¡the ¡ staged ¡analysis ¡ • Large ¡page ¡updates ¡ don’t ¡benefit ¡from ¡ Gulfstream ¡ 22 ¡

  23. Facebook ¡Experiment ¡ • Visit ¡4 ¡pages ¡ – Home ¡ – Friends ¡ – Inbox ¡ – Profile ¡ • Each ¡page ¡loads ¡addi4onal ¡JavaScript ¡ 23 ¡

  24. Gulfstream ¡Savings: ¡Slow ¡Devices ¡ 350 ¡ 300 ¡ 250 ¡ profile ¡ ¡ Seconds ¡ 200 ¡ inbox ¡ ¡ friends ¡ ¡ 150 ¡ home ¡ ¡ 100 ¡ 50 ¡ 0 ¡ 24 ¡

  25. Gulfstream ¡Savings: ¡Fast ¡Devices ¡ 12 ¡ 10 ¡seconds ¡ saved ¡ 10 ¡ 8 ¡ profile ¡ ¡ Seconds ¡ inbox ¡ ¡ 6 ¡ friends ¡ ¡ home ¡ ¡ 4 ¡ 2 ¡ 0 ¡ 25 ¡

  26. Conclusion ¡ • Gulfstream, ¡staged ¡analysis ¡for ¡JavaScript ¡ • Staged ¡analysis ¡ – Offline ¡on ¡the ¡server ¡ – Online ¡in ¡the ¡browser ¡ • Wide ¡range ¡of ¡experiments ¡ – For ¡small ¡updates, ¡Gulfstream ¡is ¡faster ¡ – Devices ¡with ¡slow ¡CPU ¡benefit ¡most ¡ 26 ¡

  27. The ¡End ¡ • Contact: ¡salvatore.guarnieri@gmail.com ¡ 27 ¡

Download Presentation
Download Policy: The content available on the website is offered to you 'AS IS' for your personal information and use only. It cannot be commercialized, licensed, or distributed on other websites without prior consent from the author. To download a presentation, simply click this link. If you encounter any difficulties during the download process, it's possible that the publisher has removed the file from their server.

Recommend

2010 GULFSTREAM G-550 SERIAL NUMBER: 5273 REGISTRATION NUMBER: N273A HIGHLIGHTS One Owner Since

2010 GULFSTREAM G-550 SERIAL NUMBER: 5273 REGISTRATION NUMBER: N273A HIGHLIGHTS One Owner Since

2010 GULFSTREAM G-550 SERIAL NUMBER: 5273 REGISTRATION NUMBER: N273A HIGHLIGHTS One Owner Since New Crew Rest Area Aft Full Service Galley 14 Passenger Gulfstream BBML - Gen 3 ViaSat KU-Band Highspeed Data w/ VOIP Honeywell MCS 7000+

277 views • 8 slides
ABOUT GULFSTREAM MEDIA GROUP Founded in 1965 with flagship publication Gold Coast magazine,

ABOUT GULFSTREAM MEDIA GROUP Founded in 1965 with flagship publication Gold Coast magazine,

ABOUT GULFSTREAM MEDIA GROUP Founded in 1965 with flagship publication Gold Coast magazine, Gulfstream Media Group is one of the longest running publishing companies in Florida Now six (6) luxury lifestyle magazines in the South Florida

435 views • 17 slides
1999 Gulfstream G-V serial V-581 Registration: N280PH

1999 Gulfstream G-V serial V-581 Registration: N280PH

1999 Gulfstream G-V serial V-581 Registration: N280PH Serial Number: V-581 Proven performance. With robust capabilities, flexible configurations and the maximum payload in its class,

290 views • 11 slides
1988 GULFSTREAM G-IV SERIAL NUMBER IV-1016 REGISTRATION NUMBER N21FJ AIRFRAME - Times Current as

1988 GULFSTREAM G-IV SERIAL NUMBER IV-1016 REGISTRATION NUMBER N21FJ AIRFRAME - Times Current as

1988 GULFSTREAM G-IV SERIAL NUMBER IV-1016 REGISTRATION NUMBER N21FJ AIRFRAME - Times Current as of 02/08/2016 Airframe Total Time (AFTT): 8, 712.7 Landings/Cycles: 4, 168 Airframe Maintenance Tracking Program: G-CMP ENGINES Eng 1 (L) Serial

293 views • 13 slides
Supersonic Technology Development Supersonic Technology Development Gulfstream Aerospace

Supersonic Technology Development Supersonic Technology Development Gulfstream Aerospace

Supersonic Technology Development Supersonic Technology Development Gulfstream Aerospace Corporation FAA Public Meeting Supersonics July 14, 2011 / Washington, DC Civil Supersonics / Concorde is Gone What Now? Civil Supersonics /

395 views • 12 slides
Gulfstream Aerospace Corporation Company Overview 2019 General Dynamics Overview Information

Gulfstream Aerospace Corporation Company Overview 2019 General Dynamics Overview Information

Gulfstream Aerospace Corporation Company Overview 2019 General Dynamics Overview Information Technology $8.27 Billion Large-scale, secure IT networks and systems Mission Systems $4.73 Billion Secure communications, command- and-control

514 views • 18 slides
Developing Effective Industry / Education Partnerships: An Employer Perspective Richard L.

Developing Effective Industry / Education Partnerships: An Employer Perspective Richard L.

Developing Effective Industry / Education Partnerships: An Employer Perspective Richard L. Johnson Gulfstream Aerospace 20 February 2009 Slide 1 Presentation Topics Who We Are Who We Are Program Strategy and Description Program

487 views • 17 slides
NOTES REPORTS AND PRESENTATIONS AGENDA ITEM IX-2 US 41 (SR45) TRAFFIC SEPARATOR PROJECT FROM

NOTES REPORTS AND PRESENTATIONS AGENDA ITEM IX-2 US 41 (SR45) TRAFFIC SEPARATOR PROJECT FROM

NOTES REPORTS AND PRESENTATIONS AGENDA ITEM IX-2 US 41 (SR45) TRAFFIC SEPARATOR PROJECT FROM GULFSTREAM AVENUE TO SOUTH OF FRUITVILLE ROAD Presenter: FDOT Project Manager Chris Zeigler and FDOT Consultant Kris Cella, Cella Molnar &amp;

357 views • 9 slides
SAVANNAH GA RICHARD S. ROTH M.D. Clinical Assistant Professor Dept. of Internal Medicine Mercer

SAVANNAH GA RICHARD S. ROTH M.D. Clinical Assistant Professor Dept. of Internal Medicine Mercer

SAVANNAH GA RICHARD S. ROTH M.D. Clinical Assistant Professor Dept. of Internal Medicine Mercer University School of Medicine RICK Senior AME ATP &amp; Lear 60 Typed , Gulfstream G550 Typed 4000+ flt hours (1000+ turbine)

1.21k views • 94 slides
Minor Drainage &amp; Roadway Improvements TOWN OF GULF STREAM MAY 8, 2020 Study Area Polo

Minor Drainage &amp; Roadway Improvements TOWN OF GULF STREAM MAY 8, 2020 Study Area Polo

Minor Drainage &amp; Roadway Improvements TOWN OF GULF STREAM MAY 8, 2020 Study Area Polo Drive Gulfstream Road Old School Road Banyan Road Lakeview Drive 2 Field Inventory 3 Drainage Inlet Aprons Minor Drainage Issues 4 Drainage

278 views • 15 slides
ADsafety Type-based Verification of JavaScript Sandboxing Joe Gibbs Politz Spiridon Aristides

ADsafety Type-based Verification of JavaScript Sandboxing Joe Gibbs Politz Spiridon Aristides

ADsafety Type-based Verification of JavaScript Sandboxing Joe Gibbs Politz Spiridon Aristides Eliopoulos Arjun Guha Shriram Krishnamurthi 1 2 3 third-party ad third-party ad 4 Who is running code in your browser? 5 Who is running

1.26k views • 95 slides
Analysing Object-Capability Security Toby Murray Oxford University Computing Laboratory

Analysing Object-Capability Security Toby Murray Oxford University Computing Laboratory

Analysing Object-Capability Security 01 Analysing Object-Capability Security Toby Murray Oxford University Computing Laboratory Analysing Object-Capability Security 02 Cooperation and Vulnerability Much of the power and utility of modern

542 views • 50 slides
CLIENT-SIDE RUNTIME ANALYSIS AND ENFORCEMENT Ben Livshits, Microsoft Research Overview of

CLIENT-SIDE RUNTIME ANALYSIS AND ENFORCEMENT Ben Livshits, Microsoft Research Overview of

CLIENT-SIDE RUNTIME ANALYSIS AND ENFORCEMENT Ben Livshits, Microsoft Research Overview of Todays Lecture 2 Background (rehash) Better runtimes CSP HTML5 Sandbox Language restrictions AdSafe FBJS Tradeoffs of

998 views • 48 slides
CPN Models as Enhancements to a Traditional Software Specification for an Elevator Controller

CPN Models as Enhancements to a Traditional Software Specification for an Elevator Controller

CPN Models as Enhancements to a Traditional Software Specification for an Elevator Controller Jens Bk Jrgensen Department of Computer Science University of Aarhus Denmark MOCA04, Aarhus, October 2004 1 Problem: design of an elevator

351 views • 10 slides
The Future of JavaScript I mean ECMAScript Douglas Crockford Yahoo! Welcome to the Future!

The Future of JavaScript I mean ECMAScript Douglas Crockford Yahoo! Welcome to the Future!

The Future of JavaScript I mean ECMAScript Douglas Crockford Yahoo! Welcome to the Future! Such as it is. The Worlds Most Popular Programming Language The Worlds Most Popular Programming Language The Worlds Most Unpopular

716 views • 58 slides
The Web of Confusion Douglas Crockford Yahoo! Inc. http://crockford.com/codecamp/confusion.ppt

The Web of Confusion Douglas Crockford Yahoo! Inc. http://crockford.com/codecamp/confusion.ppt

The Web of Confusion Douglas Crockford Yahoo! Inc. http://crockford.com/codecamp/confusion.ppt Web 2.0 Security and Privacy The problems started in 1995. We have made no progress on the fundamental problems since then. Will the web ever

585 views • 39 slides
JavaScript Security: Lets Fix It Brendan Eich CTO, Mozilla Corporation (We could bundle it)

JavaScript Security: Lets Fix It Brendan Eich CTO, Mozilla Corporation (We could bundle it)

JavaScript Security: Lets Fix It Brendan Eich CTO, Mozilla Corporation (We could bundle it) bugs to fix &lt;script&gt; injection: perl.com pr0n.com (http://radar.oreilly.com/2008/01/dangers-of-remote-javascript.html) lure.org

345 views • 17 slides
A Widely Used Machine Translation Service and its Migration to a Free/Open-Source Solution: the

A Widely Used Machine Translation Service and its Migration to a Free/Open-Source Solution: the

A Widely Used Machine Translation Service and its Migration to a Free/Open-Source Solution: the Case of Softcatal Xavier Ivars-Ribes Victor M. Snchez-Cartagena II FreeRBMT (Barcelona) January 21, 2011 Table of Contents Brief History of

417 views • 23 slides
Verify what? Navigating the Attack Surface Mark S. Miller, Google Formal Methods meets JavaScript

Verify what? Navigating the Attack Surface Mark S. Miller, Google Formal Methods meets JavaScript

Verify what? Navigating the Attack Surface Mark S. Miller, Google Formal Methods meets JavaScript Imperial College, March 2018 Risk as Attack Surface a Expected Risk: likelihood * damage Potential damage Likelihood of exploitable

592 views • 48 slides
Object Capabilities and Isolation of Untrusted Web Applications Ankur Taly Dept. of Computer

Object Capabilities and Isolation of Untrusted Web Applications Ankur Taly Dept. of Computer

Isolation problem for Web Mashups Formal definition of Capability Safe languages Solving the Isolation problem using Capabilit Object Capabilities and Isolation of Untrusted Web Applications Ankur Taly Dept. of Computer Science, Stanford

1.01k views • 43 slides
CLICK HERE.exe XSS &amp; CSRF Security Meetup Month 2 of 12 (February) Last month: SQL

CLICK HERE.exe XSS &amp; CSRF Security Meetup Month 2 of 12 (February) Last month: SQL

CLICK HERE.exe XSS &amp; CSRF Security Meetup Month 2 of 12 (February) Last month: SQL Injections This month: XSS / CSRF Next month: DDoS / DoS Meetup Group for times/dates https://www.meetup.com/CLICK_HERE-exe/ Plan of Attack

1.76k views • 58 slides
Finance, Growth and Fragility: The Role of Government Thorsten Beck Maxwell Fry Lecture 2012

Finance, Growth and Fragility: The Role of Government Thorsten Beck Maxwell Fry Lecture 2012

Finance, Growth and Fragility: The Role of Government Thorsten Beck Maxwell Fry Lecture 2012 Finance is pro-growth and pro -poor but also fragile Output losses relative to potential output; Source: Laeven and Valencia (2010) Finance,

676 views • 38 slides
CS5412: HOW IT WORKS Lecture II Ken Birman Today: Lets look at some real apps 2 Well

CS5412: HOW IT WORKS Lecture II Ken Birman Today: Lets look at some real apps 2 Well

CS5412 Spring 2012 (Cloud Computing: Birman) 1 CS5412: HOW IT WORKS Lecture II Ken Birman Today: Lets look at some real apps 2 Well focus on two very standard examples Netflix movie player Siri, Apples new digital

917 views • 54 slides
Expressing Security Constraints using capabilities Mark S. Miller and the Cajadores Overview

Expressing Security Constraints using capabilities Mark S. Miller and the Cajadores Overview

Expressing Security Constraints using capabilities Mark S. Miller and the Cajadores Overview This talk The What and Why of object-capabilities (ocaps) My Securing EcmaScript 5 talk tomorrow The How of doing ocaps in JavaScript Patterns

853 views • 67 slides

More recommend