Google Chrome Blog - The latest news from the Google Chrome team |
Chromium Blog: Security in Depth: New Security Featuresにおいて、Chromeに追加された5つのセキュリティ機能が紹介されている。現在ブラウザにおけるセキュリティ機能としてどういった取り組みが進められているか知るうえで、簡潔で参考になる資料といえる。紹介されている機能は次のとおり。
Strict-Transport-Security機能
HTTPSで通信するように指定するヘッダ。このヘッダに対応したブラウザは通信をすべてHTTPSで実施するようになる。ネットワークを制御するタイプの攻撃に強い。仕組み自体は2008年に提案されていたが、2009年11月にはStrict Transport Securityとして一般に公開されている。Paypalなど高い安全性を求められるサイトはすでに採用している。
サポートブラウザ |
---|
Chrome4、Firefoxは現在開発中 (エクステンションでの対応は可) |
HTML5 postMessage API
違うオリジンを持つフレームの間での通信を可能にするAPI。たとえばサイトにガジェットを埋め込む場合、ガジェットのスクリプトをページに埋め込む方法と、iframeで埋め込む方法の2つのアプローチがある。埋め込むアプローチは便利だが、そのスクリプトが悪意のある処理をしないという前提が必要になる。iframeの方法はより安全だが、インタラクティブな通信ができないという不便さがある。postMessage APIを利用することでiframeの安全性を活用しつつ、インタラクティブ性も実現できる。
サポートブラウザ |
---|
Chrome、IE、Firefox、Safari、Opera |
HTML5 Origin機能
CSRF攻撃はページを開いただけで実行できてしまう。HTML5で策定が進められているOriginヘッダを利用することで、この攻撃を緩和することが可能になる。Chromeでの実装は現在進行形であり、仕様に合わせて実装も変化させていく段階にある。
サポートブラウザ |
---|
Chrome (現在実装段階。仕様の変更にともない随時開発) |
X-Frame-Options機能
IE8に導入された機能。他のサイトからframe/iframeを経由して参照されるのを禁止するというもので、クリックジャックへの対策とすることができる。
サポートブラウザ |
---|
Chrome、IE、Safari4 |
XSSフィルタ機能
XSS脆弱性へ対処することはなかなか困難な側面があるが、ChromeではWebKitレベルにXSSフィルタを導入することでこれに対処。ブラウザにかぶせる実装と比較してスクリプトを実行する前の段階でフィルタリングできるという利点がある。またWebKitに実装を追加するため、WebKitを採用しているSafariやEpiphanyなどのブラウザも恩恵に預かれるようになるという利点がある。すでにフィルタを回避するパターンが報告されているが、報告に合わせて随時改訂していく。
サポートブラウザ |
---|
Chrome、IE8 (ただしChromeとは方式が異なる) |