JavaScriptハイジャッキングは,AjaxスタイルのWebアプリケーションを狙う新手の盗聴攻撃である。Ajaxコードに的を絞った初めての攻撃と断言してもいいだろう。この攻撃が可能なのは,WebブラウザがHTMLほどにはJavaScriptを保護しないからだ。WebアプリケーションがJavaScriptによるメッセージで機密データを送信すると,場合によってはこのメッセージが攻撃者に読み取られてしまう。
人気の高いAjaxプログラミング・フレームワークの多くは,JavaScriptハイジャッキングを防ぐ手立てを持たない。実際のところ,うまく機能させることを優先して,ぜい弱性を抱えたWebアプリケーションを構築するようにプログラマに“要求”しているものもあるのだ。
似たような多くのぜい弱性と同じく,この手の攻撃は容易に防げる。大抵は,わずか数行のコードを加えるだけで済む。また,ソフトウエアで数多く見られるセキュリティ問題と同様,プログラマは自分の書いたコードがセキュリティに与える影響を把握し,直面するリスクを軽減する必要がある。ただし,筆者が予想するに,JavaScriptハイジャッキングはそう簡単には解決しないだろう。プログラマが先ほど述べたような点を理解しておらず,攻撃を防げないからだ。
JavaScriptハイジャッキングについての論文:http://www.fortifysoftware.com/servlet/downloads/...(PDF形式)
上記論文の共同執筆者の一人から寄せられた,ブログのコメントに対する回答:http://www.schneier.com/blog/archives/2007/04/...
Copyright (c) 2007 by Bruce Schneier.
◆オリジナル記事 「JavaScript Hijacking」
◆「CRYPTO-GRAM April 15, 2007」
◆「CRYPTO-GRAM April 15, 2007」日本語訳ページ
◆「CRYPTO-GRAM」日本語訳のバックナンバー・ページ
◆この記事は,Bruce Schneier氏の許可を得て,同氏が執筆および発行するフリーのニュース・レター「CRYPTO-GRAM」の記事を抜粋して日本語化したものです。
◆オリジナルの記事は,「Crypto-Gram Back Issues」でお読みいただけます。CRYPTO-GRAMの購読は「Crypto-Gram Newsletter」のページから申し込めます。
◆日本語訳のバックナンバーは「Crypto-Gram日本語訳」のページからお読みいただけます。
◆Bruce Schneier氏は米Counterpane Internet Securityの創業者およびCTO(最高技術責任者)です。Counterpane Internet Securityはセキュリティ監視の専業ベンダーであり,2006年10月に英BTの傘下に入りました。国内ではインテックと提携し,監視サービス「EINS/MSS+」を提供しています
