Chromeの5大セキュリティ強化
2293 ワード
Googleは、閲覧をより安全にするために、最近Chromeに5つのセキュリティ強化を追加しました.ドキュメント間メッセージ配信、Strict-Transport-security、Origin、X-Frame-Options、反射XSSフィルタです.一部のプロパティは、他のブラウザで実装されているか、実装されています.
メッセージ配信
ブラウザは、セキュリティとプライバシーのため、異なるドメインに属するドキュメント間のインタラクションを禁止します.HTML 5では、独立したiFrame内のドキュメント間のインタラクションを可能にするpostMessage()という新しい方法が導入されています.このメソッドの署名は次のとおりです.
これにより、ブラウザはiFramesが提供するセキュリティとドキュメント間のインタラクションを実現することができます.
Strict-Transport-Security
HTTPSは、ウェブサイトに接続し、保護が必要な機密情報を伝送するための安全な方法である.しかし、ブラウザは常にHTTPSを強制的に使用するわけではありません.例えば、あるサイトが提供するセキュリティ証明書に問題がある場合、ブラウザは警告を発行し、ユーザーは半安全な接続でサイトを閲覧し続けることができます.PayPalは、HTML 5の仕様にStrict-Transport-Security(STS)というHTTPヘッダを導入することを提案することに成功した.サービス側がSTSを含むHTTPヘッダを返した場合、この特性を実現したブラウザは、セキュリティ転送エラーまたは警告が発生した場合(ウェブサイトが自己署名証明書を使用していることを含む)、UA[User Agent]はすべてのセキュリティ接続を終了する. 参照を解く前に、UA[User Agent]はSTSサーバへの不安全なURIを安全なURI参照に変換する.
この特徴は、Webサーバまたはユーザエージェントがセキュリティが必要であると判断した場合に、HTTPSを強制的に使用する.インターネットの多忙な場所で無線接続を利用する上で安全でないHTTP接続は盗聴のために扉を開け、その結果、個人がウェブサイトにアクセスする私有情報が盗まれる可能性がある.STSは盗まれないように保護することができる.
現在、Paypalはこの特徴を実現している.Chrome 4もSTSを実現しているほか、FirefoxのセキュリティプラグインNoScriptもあり、同じ機能を持っています.FireFox自身のSTS実装が進行中である.
Origin
クロスステーション要求偽造(Cross-site request forgeryまたはCSRF)攻撃は、知らず知らずのうちにあるサイトをだまして別のサイトに秘密情報を提供させることによって行われる.OriginはHTML 5に含まれるHTTPヘッダであり,ユーザエージェントに要求元を指定させることでこの問題を解決できる.悪意のあるWebサイトが要求を別のWebサイトにリダイレクトすると、ブラウザはその要求に「Origin」ヘッダを含み、ターゲットWebサイトはその「Origin」が信頼できるかどうかに基づいて対応する操作を実行するかどうかを決定します.
GoogleとMozillaは、それぞれのブラウザでこの特徴を実現しています.W 3 Cの仕様は、より詳細な情報を提供しています.
X-Frame-Options
もう1つのHTTPヘッダフィールドX-Frame-Optionsは、ClickJacking攻撃を防ぐために使用することができる.このような攻撃は、Webページの入力コントロールに表示されないフレーム(frame)を上書きする手段によって行われ、ユーザがコントロールをクリックすると、実際にはその上の表示されないフレーム(frame)に入力される.サイトは「X-Frame-Option:deny」を指定することでClickJacking攻撃を防ぐことができ、この特性をサポートするブラウザはレンダリングボックスの内容を断固として拒否し、ClickJacking攻撃を阻止することができます.
IE 8はこの機能を実現した最初のブラウザであり、ChromeとSafariが続いている.
反射XSSフィルタ
クロスステーションスクリプト攻撃(Cross-site scriptingまたはXSS)は、セキュリティの弱点を再利用して攻撃する手段であり、最も対処しにくい攻撃の一つでもある.IE 8とFirefoxのNoScriptコントロールには、GoogleがWebKitに追加してChrome 4に使用する反射XSSフィルタがあります.このフィルタは、実行するWebページのスクリプトがページを要求する要求情報にも存在するかどうかを検証します.もしそうであれば、Webサイトがスクリプトに攻撃されていることを意味する可能性があります.
原文:5 Security Enhancements in Chrome
メッセージ配信
ブラウザは、セキュリティとプライバシーのため、異なるドメインに属するドキュメント間のインタラクションを禁止します.HTML 5では、独立したiFrame内のドキュメント間のインタラクションを可能にするpostMessage()という新しい方法が導入されています.このメソッドの署名は次のとおりです.
window.postMessage(message, [ports,] targetOrigin)これにより、ブラウザはiFramesが提供するセキュリティとドキュメント間のインタラクションを実現することができます.
Strict-Transport-Security
HTTPSは、ウェブサイトに接続し、保護が必要な機密情報を伝送するための安全な方法である.しかし、ブラウザは常にHTTPSを強制的に使用するわけではありません.例えば、あるサイトが提供するセキュリティ証明書に問題がある場合、ブラウザは警告を発行し、ユーザーは半安全な接続でサイトを閲覧し続けることができます.PayPalは、HTML 5の仕様にStrict-Transport-Security(STS)というHTTPヘッダを導入することを提案することに成功した.サービス側がSTSを含むHTTPヘッダを返した場合、この特性を実現したブラウザは、
この特徴は、Webサーバまたはユーザエージェントがセキュリティが必要であると判断した場合に、HTTPSを強制的に使用する.インターネットの多忙な場所で無線接続を利用する上で安全でないHTTP接続は盗聴のために扉を開け、その結果、個人がウェブサイトにアクセスする私有情報が盗まれる可能性がある.STSは盗まれないように保護することができる.
現在、Paypalはこの特徴を実現している.Chrome 4もSTSを実現しているほか、FirefoxのセキュリティプラグインNoScriptもあり、同じ機能を持っています.FireFox自身のSTS実装が進行中である.
Origin
クロスステーション要求偽造(Cross-site request forgeryまたはCSRF)攻撃は、知らず知らずのうちにあるサイトをだまして別のサイトに秘密情報を提供させることによって行われる.OriginはHTML 5に含まれるHTTPヘッダであり,ユーザエージェントに要求元を指定させることでこの問題を解決できる.悪意のあるWebサイトが要求を別のWebサイトにリダイレクトすると、ブラウザはその要求に「Origin」ヘッダを含み、ターゲットWebサイトはその「Origin」が信頼できるかどうかに基づいて対応する操作を実行するかどうかを決定します.
GoogleとMozillaは、それぞれのブラウザでこの特徴を実現しています.W 3 Cの仕様は、より詳細な情報を提供しています.
X-Frame-Options
もう1つのHTTPヘッダフィールドX-Frame-Optionsは、ClickJacking攻撃を防ぐために使用することができる.このような攻撃は、Webページの入力コントロールに表示されないフレーム(frame)を上書きする手段によって行われ、ユーザがコントロールをクリックすると、実際にはその上の表示されないフレーム(frame)に入力される.サイトは「X-Frame-Option:deny」を指定することでClickJacking攻撃を防ぐことができ、この特性をサポートするブラウザはレンダリングボックスの内容を断固として拒否し、ClickJacking攻撃を阻止することができます.
IE 8はこの機能を実現した最初のブラウザであり、ChromeとSafariが続いている.
反射XSSフィルタ
クロスステーションスクリプト攻撃(Cross-site scriptingまたはXSS)は、セキュリティの弱点を再利用して攻撃する手段であり、最も対処しにくい攻撃の一つでもある.IE 8とFirefoxのNoScriptコントロールには、GoogleがWebKitに追加してChrome 4に使用する反射XSSフィルタがあります.このフィルタは、実行するWebページのスクリプトがページを要求する要求情報にも存在するかどうかを検証します.もしそうであれば、Webサイトがスクリプトに攻撃されていることを意味する可能性があります.
原文:5 Security Enhancements in Chrome