今時,Webブラウザなしにコンピュータを使おうなんて想像できるだろうか?ネットワーク利用などが厳しく制限された環境でない限りほぼ不可能だろう。無数のアプリケーションが何らかのWebアクセスを必要としており,この傾向が将来も拡大するのは間違いない。
コンピュータ利用がWebブラウザとWebサーバーに大きく依存しているということは,これらを狙った攻撃が後を絶たないということからも証明されている。Web技術のセキュリティ向上は,開発者にとって不変の目標である。幸いなことに,ここにきてようやく,Webブラウザ・ベンダーの技術者が協力し合うようになった。
11月には多くのWeb開発者がカナダに集まり,ブラウザ・セキュリティを向上させるための協力活動について話し合った。この会合は,Linuxシステム向けのポピュラなグラフィカル環境であるKDE(K Desktop Environment)の中心的開発者George Staikos氏が主催した。Opera SoftwareからはCarsten Fischer氏とYngve Nysaeter Pettersen氏が,Mozilla FoundationからはFrank Hecker氏が,MicrosoftからはRob Franco氏とKelvin Yiu氏が参加した。他の開発者たちは,招待されたが出席できなかったらしい。主催者であるStaikos氏によると,「この会合の狙いは,フィッシング(phishing)や,老朽化している暗号化技術,整合性のないSSL認証などが原因で起きるセキュリティ上のリスクと戦うための,将来的な計画を立てることだった」と語る。
参加者の間で意見が一致した最初の問題は,ぜい弱な暗号化手法の利用を最小限に抑えることだった。例えばSSL 2.0は,既にKDEのソース・コード・ツリーからは除外されており,Microsoft Internet Explorer(IE)7.0ではSSL 2.0はデフォルトで無効にされる予定だ。OperaやMozilla,その他のベンダーも間違いなくそうするだろう。同様に,40ビット長または56ビット長の鍵を使っているような弱い暗号は,より強い暗号化手法によって引退させられるだろうし,認証局(CA:Certificate Authority)に対して2048ビットの(またはもっと強い)鍵を使う,より強度の高い証明書を発行するように要求する努力もなされるだろう。
認証局(CA)について言えば,今回の会議の一番のフォーカスは証明書の拡張だった。会議の参加者たちは,CAの実装がより高度なX.509デジタル証明書標準仕様に拡張されることを期待していた。こうすれば,証明書のオーナーが何らかの追加の検証プロセス(言い換えれば,普通の証明書を得るために必要なプロセス以上のプロセス)を通過したということを示せるようになるからだ。例えばブラウザ・ソフトウエアは,カラーやテキストを使ったビジュアルなインジケータによって,より強い認証が使えることをユーザーに気づかせられるようになる。
IE 7.0では危険なサイトを色で教えてくれる
MicorosoftのRob Franco氏は,彼のブログ「IEBlog」でこの会合に関する記事を投稿している(該当記事)。この記事によれば,Internet Explorer 7.0では閲覧するサイトの危険度によって,アドレス・バーの色が変化するという。アドレス・バーの背景が赤色になった場合,そのサイトがフィッシングにかかわっていることを示している。黄色になった場合は,フィッシングにかかわっている恐れがあるものの,その事実が確認されていないことを示す。白色である場合は,そのサイトが典型的なSSL認証を使っていることを示し,緑色である場合は,「より優れたアイデンティティ認証のために,将来に向けて作られたガイドライン」を満たすサイトであることを示す。Rob Franco氏は「アドレス・バーに関するIE 7.0の設計は,その企業のアイデンティティを保証するサード・パーティのCAの名前によって,その企業の名前を置き換えて表示することも目指している。われわれは,企業名をCA名で置き換えて表示することが,ユーザーへの告知とシンプルさの適正なバランスを取れる方法だと考えている」と語っている。
様々なレポートを読むと,今回の議論ではたくさんの議論があり,いくつかのアイデアには全員が賛成したという見方が多い。この会議で何が議論されて,どんな結果だったかを詳しく知りたければ,参加者たちが書いた記事を読むことだ。Staikos氏のコメントは下記の最初のURLにあるし,Operaの開発者のコメントは2番目のURL,Mozillaの参加者のコメントは3番目のURL,そしてIE 7の開発者のコメントは4番目のURLで読める。
1.
http://dot.kde.org/1132619164
2.
http://www.opera.com/security/toronto
3.
http://www.hecker.org/mozilla/ssl-ui
4.http://blogs.msdn.com/ie/archive/2005/11/21/495507.aspx
