米マイクロソフトは先日,次期Webブラウザ「Internet Explorer(IE)8」のベータ1を公開した(関連記事)。ベータ1版では,開発者向けツールやその他機能が多くの関心を集めたが,ほかにも注意しておくべき新たなセキュリティ機能と懸念が存在する。
新しいセキュリティ機能の一つに「ドメイン強調表示」がある。URLのうちドメイン名以外の部分をトーンダウンして表示する機能だ。
|
|
| 図1●ドメイン強調表示のスクリーンショット |
フィッシング・サイトは,しばしばスクリーンショットで示したようなドメイン名を使う。こうしたドメイン名には,ユーザーがアクセスしようとしているWebサイトのURLに似せた文字列が含まれているため,ユーザーが本物のWebサイトと誤解することがよくある。ユーザーがWebブラウザをIE 8にアップグレードし,このドメイン強調表示による保護機能を意識するようになれば,フィッシング・サイトを避けるのに役立つだろう。「Firefox」でもプラグイン「Location^2」を導入すれば同様の機能が使える。
クロスドメイン・リクエスト
ブラウザには同一生成元ポリシーというセキュリティの概念がある。悪意のあるWebサイトなど外部との不正な通信を阻止するために設けられた。ある生成元から読み込まれた文書やスクリプトが,異なる生成元からの文書のプロパティを取得したり設定したりするのを防ぐ。この同一生成元ポリシーの制限がある場合,通常,ほかのWebサイトへリクエストを送るにはプロキシ・サーバーが必要になる。このプロキシを経由する通信は次のようになる。
|
| 図2 |
IE 8には新たなオブジェクト「XDR」でクロスドメイン・リクエストを処理する機能が搭載され,同一生成元ポリシーの壁を破れるようになる。IE 8で設定される新たなアクセス制限の内容を以下の表にまとめた。
|
| 図3 |
ほかにも興味深い制限が二つある。
・各サイトの通信プロトコルを一致させなければならない(「https://」と「http://」間の通信は,両方向ともできない)
・リクエスト先のページは,値が1の「XDomainRequestAllowed」ヘッダーを返さなければならない
そのほかの詳しい技術情報と例は,マイクロソフトのWebサイトに掲載されている。
