The Mozilla Foundation |
MozillaでWebセキュリティエンジニアを務めているMichael Coates氏が自身のブログにおいて、Mozillaの提供しているWebアプリケーションをより安全にするための「Attack Aware (攻撃検出)」と呼ばれる取り組みを進めていることを伝えている。これは通常のユーザが行う入力間違いといったエラーと、悪意あるユーザが何らかの目的で仕掛けてくる危険なエラーの違いを見抜き、悪意あるユーザにそれ以上の行いを禁止するといった処理をするものと説明がある。
MozillaではすでにWebアプリケーションを安全に運用するための各種取り組みを進めている。「Attack Aware」はこれら既存の取り組みを置き換えるものではなく、既存の取り組みを強化するために追加される取り組みのひとつだと説明がある。基本的にはブラックリストの形式で実装される機能だと説明されており、攻撃に使われるパターンで一般ユーザが指定する可能性が低いものをブラックリストに追加して検出データとしていくものとみられる。
この取り組みは直近すぐに適用するというものではなく、もうしばらく実験開発を進めて徐々に適用していく技術とされており、近いうちに大きな影響はないものとみられる。ただし、この取り組みがWebアプリケーションに適用された後はバグ発見の取り組みが攻撃とみなされるようになる可能性があり、現在のバグ発見奨励の仕組みと衝突することになる。このため、バグ発見用には専用のサイトを別途用意することになるとみられる。
