Chromeセキュリティモデル、IE/Firefox/Safari/Operaのいいとこ取り

後藤大地  [2008/12/08]

Chromium - News and developments from the open source browser project

HTML5の登場で変わる可能性が高いが、Webブラウザのセキュリティモデルは基本的に「Same origin policy」と呼ばれる「同じサイトからしかドキュメントの読み込みを許可しない」ポリシーで成り立っている。しかしこれはPCのローカルファイルとなると話が違ってくる。ローカルファイルに対しては「Same origin policy」は必ずしも有効になっておらず、ブラウザごとに対応はまちまちだ。このあたりの話がChromium Blog, Security in Depth: Local Web PagesにまとまっているためWebデベロッパは一度目を通しておきたい。

説明ではまず次のようにローカルファイルの閲覧に規制が設けられていない場合の脆弱パターンを説明してから、それぞれのブラウザの対応を紹介している。

  1. 攻撃者が作成したWebページデータを含んだメールを受信する
  2. ブラウザでローカルに保存されたWebページを開く
  3. Webページはhttps://mail.google.com/mail/をソースとしたiframeを作成する
  4. Gmailにログインしている場合はinboxのメッセージが読み込まれる
  5. JavaScriptでframes[0].document.documentElement.innerHTMLにアクセスしてメールデータを取得する
  6. ローカルWebページでtextareaに取得したデータを追加してPOST経由で攻撃者のWebサーバへ送信する

こうした想定されるセキュリティ上の懸念に対する各ブラウザの対応は次のとおり。

  • Safari 3.2: ローカルWebページから任意のWebサイトにアクセス可能(ステップ5を許可)。ネット上のWebページからローカルファイルへのアクセスを困難にすることで対処(ステップ2は困難)
  • IE7: Safari 3.2と同じ。加えてデフォルトでローカルWebページにおけるJavaScript実行を拒否(ステップ5は困難)。ただし設定次第では実行可能にもなる
  • Opera 9.6: ローカルWebページからアクセスできるのをローカルファイルシステム上のファイルに限定(ステップ5は困難)
  • Firefox 3: Opera 9.6と同じ。加えて読み込めるファイルを同じディレクトリ以下のファイルに限定

こうしたブラウザの対応状況を鑑み、Google Chromeでは次のポリシーを採用している。OperaのポリシーをベースにSafari/IEの特徴も取り込んだ形だ。

  • Chrome: ローカルWebページからのアクセスをローカルファイルシステム上のファイルに限定(ステップ5は困難)。ネット上のWebページからローカルファイルへのアクセスは拒否(ステップ2は困難)。開発の利便性や現状を加味してローカルWebページにおけるJavaScriptの実行は許可

Chromをインストールして使うようなケースではほかのブラウザもインストールしてあることがほとんどだ。このためブラウザを組み合わせて巧みにそれぞれの制限をくぐり抜けて攻撃を実現する方法がある。このためChromeではダウンロードしたファイルにMark of the Webを追加したり、ファイルダウンロード時にユーザに確認を促すようにするといったように、ブラウザを組み合わせた場合でも可能な限り危険性を減らすようにする処理も実装されている。

今後はFirefox 3で実現されているディレクトリ以下へのアクセス限定機能やローカルWebページからネットへデータバックを不可能にする方法などの取り込みが検討されているという。さすがに後発のブラウザということもありChromeのセキュリティモデルはよく考えられているようだ。

関連キーワード


転職ノウハウ

あなたが本領発揮できる仕事を診断
あなたの仕事適性診断

シゴト性格・弱点が20の質問でサクッと分かる!

「仕事辞めたい……」その理由は?
「仕事辞めたい……」その理由は?

71%の人が仕事を辞めたいと思った経験あり。その理由と対処法は?

3年後の年収どうなる? 年収予報
3年後の年収どうなる? 年収予報

今の年収は適正? 3年後は? あなたの年収をデータに基づき予報します。

激務な職場を辞めたいが、美女が邪魔して辞められない
激務な職場を辞めたいが、美女が邪魔して辞められない

美人上司と可愛い過ぎる後輩に挟まれるエンジニアの悩み

特別企画 PR

人気記事

一覧

イチオシ記事

新着記事

[尾木ママ]フジテレビ・阿部知代らと「LGBT」テーマにトーク 教育現場の現状明かす
[21:51 4/30] エンタメ
ドスパラ、GWに特価セールやお得なキャンペーンを開催
[21:48 4/30] パソコン
【レポート】Mac向けOSと統合された「iOS X」が登場したら大騒ぎになるだろうけれど……  - 松村太郎のApple先読み・深読み
[21:45 4/30] 携帯
[2016年春アニメ]オリジナルに力作そろう 「ハイスクール・フリート」「迷家」…
[21:30 4/30] ホビー
「キン肉マン」ペットボトルに付けられる、超人たちのマスクがカプセルトイに
[21:19 4/30] ホビー

特別企画 PR

求人情報