Chromeセキュリティモデル、IE/Firefox/Safari/Operaのいいとこ取り

 

Chromium - News and developments from the open source browser project

HTML5の登場で変わる可能性が高いが、Webブラウザのセキュリティモデルは基本的に「Same origin policy」と呼ばれる「同じサイトからしかドキュメントの読み込みを許可しない」ポリシーで成り立っている。しかしこれはPCのローカルファイルとなると話が違ってくる。ローカルファイルに対しては「Same origin policy」は必ずしも有効になっておらず、ブラウザごとに対応はまちまちだ。このあたりの話がChromium Blog, Security in Depth: Local Web PagesにまとまっているためWebデベロッパは一度目を通しておきたい。

説明ではまず次のようにローカルファイルの閲覧に規制が設けられていない場合の脆弱パターンを説明してから、それぞれのブラウザの対応を紹介している。

  1. 攻撃者が作成したWebページデータを含んだメールを受信する
  2. ブラウザでローカルに保存されたWebページを開く
  3. Webページはhttps://mail.google.com/mail/をソースとしたiframeを作成する
  4. Gmailにログインしている場合はinboxのメッセージが読み込まれる
  5. JavaScriptでframes[0].document.documentElement.innerHTMLにアクセスしてメールデータを取得する
  6. ローカルWebページでtextareaに取得したデータを追加してPOST経由で攻撃者のWebサーバへ送信する

こうした想定されるセキュリティ上の懸念に対する各ブラウザの対応は次のとおり。

  • Safari 3.2: ローカルWebページから任意のWebサイトにアクセス可能(ステップ5を許可)。ネット上のWebページからローカルファイルへのアクセスを困難にすることで対処(ステップ2は困難)
  • IE7: Safari 3.2と同じ。加えてデフォルトでローカルWebページにおけるJavaScript実行を拒否(ステップ5は困難)。ただし設定次第では実行可能にもなる
  • Opera 9.6: ローカルWebページからアクセスできるのをローカルファイルシステム上のファイルに限定(ステップ5は困難)
  • Firefox 3: Opera 9.6と同じ。加えて読み込めるファイルを同じディレクトリ以下のファイルに限定

こうしたブラウザの対応状況を鑑み、Google Chromeでは次のポリシーを採用している。OperaのポリシーをベースにSafari/IEの特徴も取り込んだ形だ。

  • Chrome: ローカルWebページからのアクセスをローカルファイルシステム上のファイルに限定(ステップ5は困難)。ネット上のWebページからローカルファイルへのアクセスは拒否(ステップ2は困難)。開発の利便性や現状を加味してローカルWebページにおけるJavaScriptの実行は許可

Chromをインストールして使うようなケースではほかのブラウザもインストールしてあることがほとんどだ。このためブラウザを組み合わせて巧みにそれぞれの制限をくぐり抜けて攻撃を実現する方法がある。このためChromeではダウンロードしたファイルにMark of the Webを追加したり、ファイルダウンロード時にユーザに確認を促すようにするといったように、ブラウザを組み合わせた場合でも可能な限り危険性を減らすようにする処理も実装されている。

今後はFirefox 3で実現されているディレクトリ以下へのアクセス限定機能やローカルWebページからネットへデータバックを不可能にする方法などの取り込みが検討されているという。さすがに後発のブラウザということもありChromeのセキュリティモデルはよく考えられているようだ。

関連キーワード


転職ノウハウ

あなたが本領発揮できる仕事を診断
あなたの仕事適性診断

シゴト性格・弱点が20の質問でサクッと分かる!

「仕事辞めたい……」その理由は?
「仕事辞めたい……」その理由は?

71%の人が仕事を辞めたいと思った経験あり。その理由と対処法は?

3年後の年収どうなる? 年収予報
3年後の年収どうなる? 年収予報

今の年収は適正? 3年後は? あなたの年収をデータに基づき予報します。

激務な職場を辞めたいが、美女が邪魔して辞められない
激務な職場を辞めたいが、美女が邪魔して辞められない

美人上司と可愛い過ぎる後輩に挟まれるエンジニアの悩み

人気記事

一覧

イチオシ記事

新着記事

芸能人×一般人が”サシ”でトーク! 新番組『テレ東のさしめし』
[14:00 9/30] エンタメ
海原やすよともこ「お金に目をくらませない」『どこいこ!?』人気の秘密
[14:00 9/30] エンタメ
石原さとみ、1億円持ち上げられるか!? "おでんふーふー"にスタッフメロメロ
[14:00 9/30] エンタメ
新番組で政界進出を狙う武井壮に、ブラマヨ小杉「野心が見えて仕方ない」
[13:30 9/30] エンタメ
IEEE 802.3bz登場、ネットワークが最大5倍高速化
[13:30 9/30] 企業IT

求人情報