クリックジャッキングにFirefox+NoScriptで対抗できるのか?

杉山貴章(オングス)
2008/09/30 18:19

今回はPlacesデータベースに関する解説を一時中断して、ウェブサイト閲覧中にJavaScriptや各種プラグインの実行を防止する拡張「NoScript」を紹介したい。

JavaScriptを効果的にブロックする「NoScript」

 先週、「クリックジャッキング」と呼ばれる新たな脅威が発表された。詳細はまだ明らかになっていないが、Firefoxを含むほぼ全てのブラウザが対象になり、現時点で影響を最小限に抑える(完全に防止できるわけではない)手段はスクリプト機能とプラグインを無効化することだけだとされている。

 そこで「NoScript」の出番である。この拡張を用いることでJavaScriptおよび各種プラグインの実行を容易に制御できるようになる。実行の許可はホワイトリスト制となっており、作者であるGiorgio Maone氏によればデフォルト設定でクリックジャッキングを利用した攻撃シナリオの多くを防ぐことができるとのことだ。

 NoScriptをインストールすると、図1に示すように信頼されていないサイト、すなわちホワイトリストに載っていないサイトについてはJavaScriptだけでなくJavaFlashSilverlight、その他のプラグインは全てブロックされる。さらに、一度「信頼できない」とされたサイトに関しては全てのオブジェクトがブロックされる。

図1 デフォルト設定は極力安全に設計されているとのこと 図1 デフォルト設定は極力安全に設計されているとのこと

 [詳細設定]タブでは、信頼されていないサイト、信頼済みサイトに関する詳細な動作が設定できるほか、クロスサイトスクリプティング(XSS)の防止やHTTPSの動作などを指定できる。

図2 クロスサイトスクリプティングの脅威もブロックできる 図2 クロスサイトスクリプティングの脅威もブロックできる

 まだ信頼されていないサイトを訪れ、JavaScriptやその他のオブジェクトがブロックされた場合には、図3のようにページ下部にその旨が表示される。ここで[Option]をクリックすることで、図4のようなポップアップメニューからそのサイトにおけるNoScriptの動作を指定することが可能。ここで[許可]を選択すればそのサイトがホワイトリストに追加される。[一時的に許可]の場合は一時的にブロックは解除されるが、ホワイトリストには追加されない。[Untrusted]メニューは、そのサイトを「信頼できないサイト」としてマークする。

図3 信頼されていないサイトはデフォルトでJavaScriptがブロックされる 図3 信頼されていないサイトはデフォルトでJavaScriptがブロックされる
図4 サイト毎のNoScriptの動作設定はワンクリックで可能 図4 サイト毎のNoScriptの動作設定はワンクリックで可能

 NoScriptは安全なインターネット利用のために必須の拡張と言えるだろう。

記事に関係する情報をコメントでお寄せください

ニックネーム : CNET_IDにログインしてコメントする

コメント本文(必須) :
  • 新着記事
  • 人気記事
  • 特集
  • ブログ
  • 話題のタグ
iPhone リファレンス UI RIA Flash ソフトウェア開発 データベース Mozilla Internet Explorer JavaScript Off Topic Apple Windows XP Google Firefox Webデザイン オープンソース WebKit Firefox 3 アプリケーション マイクロソフト Tips セキュリティ 小技 ブラウザ プログラミング言語 インストール Microsoft 仮想化 Linux Windows OS Mac OS X Opera HTML Windows 7 iPhone 3G 脆弱性 Safari CSS iPod touch モバイル 開発環境 クラウド Chrome Windows Vista Java Webサービス Database Ajax
  • 話題のタグを見る »