クリックジャッキングにFirefox+NoScriptで対抗できるのか?

杉山貴章(オングス)
2008/09/30 18:19

今回はPlacesデータベースに関する解説を一時中断して、ウェブサイト閲覧中にJavaScriptや各種プラグインの実行を防止する拡張「NoScript」を紹介したい。

JavaScriptを効果的にブロックする「NoScript」

 先週、「クリックジャッキング」と呼ばれる新たな脅威が発表された。詳細はまだ明らかになっていないが、Firefoxを含むほぼ全てのブラウザが対象になり、現時点で影響を最小限に抑える(完全に防止できるわけではない)手段はスクリプト機能とプラグインを無効化することだけだとされている。

 そこで「NoScript」の出番である。この拡張を用いることでJavaScriptおよび各種プラグインの実行を容易に制御できるようになる。実行の許可はホワイトリスト制となっており、作者であるGiorgio Maone氏によればデフォルト設定でクリックジャッキングを利用した攻撃シナリオの多くを防ぐことができるとのことだ。

 NoScriptをインストールすると、図1に示すように信頼されていないサイト、すなわちホワイトリストに載っていないサイトについてはJavaScriptだけでなくJavaFlashSilverlight、その他のプラグインは全てブロックされる。さらに、一度「信頼できない」とされたサイトに関しては全てのオブジェクトがブロックされる。

図1 デフォルト設定は極力安全に設計されているとのこと 図1 デフォルト設定は極力安全に設計されているとのこと

 [詳細設定]タブでは、信頼されていないサイト、信頼済みサイトに関する詳細な動作が設定できるほか、クロスサイトスクリプティング(XSS)の防止やHTTPSの動作などを指定できる。

図2 クロスサイトスクリプティングの脅威もブロックできる 図2 クロスサイトスクリプティングの脅威もブロックできる

 まだ信頼されていないサイトを訪れ、JavaScriptやその他のオブジェクトがブロックされた場合には、図3のようにページ下部にその旨が表示される。ここで[Option]をクリックすることで、図4のようなポップアップメニューからそのサイトにおけるNoScriptの動作を指定することが可能。ここで[許可]を選択すればそのサイトがホワイトリストに追加される。[一時的に許可]の場合は一時的にブロックは解除されるが、ホワイトリストには追加されない。[Untrusted]メニューは、そのサイトを「信頼できないサイト」としてマークする。

図3 信頼されていないサイトはデフォルトでJavaScriptがブロックされる 図3 信頼されていないサイトはデフォルトでJavaScriptがブロックされる
図4 サイト毎のNoScriptの動作設定はワンクリックで可能 図4 サイト毎のNoScriptの動作設定はワンクリックで可能

 NoScriptは安全なインターネット利用のために必須の拡張と言えるだろう。

記事に関係する情報をコメントでお寄せください

ニックネーム : CNET_IDにログインしてコメントする

コメント本文(必須) :
  • 新着記事
  • 人気記事
  • 特集
  • ブログ
  • 話題のタグ
仮想化 Microsoft iPhone Firefox 3 データベース google HTML linux javascript Safari Ajax リファレンス アプリケーション WebKit Webサービス Mac OS X インストール java Webデザイン Opera php Windows 7 プログラミング言語 iPhone 3G iPod touch マイクロソフト Off Topic RIA 開発環境 Flash Mozilla 小技 OS クラウド セキュリティ Tips Windows Windows XP CSS Internet Explorer UI Windows Vista オープンソース Chrome 脆弱性 ブラウザ Database ソフトウェア開発 Firefox Apple
  • 話題のタグを見る »