クリックジャッキングにFirefox+NoScriptで対抗できるのか?

杉山貴章(オングス)
2008-09-30 18:19:01
  • このエントリーをはてなブックマークに追加

JavaScriptを効果的にブロックする「NoScript」

 先週、「クリックジャッキング」と呼ばれる新たな脅威が発表された。詳細はまだ明らかになっていないが、Firefoxを含むほぼ全てのブラウザが対象になり、現時点で影響を最小限に抑える(完全に防止できるわけではない)手段はスクリプト機能とプラグインを無効化することだけだとされている。

 そこで「NoScript」の出番である。この拡張を用いることでJavaScriptおよび各種プラグインの実行を容易に制御できるようになる。実行の許可はホワイトリスト制となっており、作者であるGiorgio Maone氏によればデフォルト設定でクリックジャッキングを利用した攻撃シナリオの多くを防ぐことができるとのことだ。

 NoScriptをインストールすると、図1に示すように信頼されていないサイト、すなわちホワイトリストに載っていないサイトについてはJavaScriptだけでなくJava、Flash、Silverlight、その他のプラグインは全てブロックされる。さらに、一度「信頼できない」とされたサイトに関しては全てのオブジェクトがブロックされる。

図1 デフォルト設定は極力安全に設計されているとのこと 図1 デフォルト設定は極力安全に設計されているとのこと

 [詳細設定]タブでは、信頼されていないサイト、信頼済みサイトに関する詳細な動作が設定できるほか、クロスサイトスクリプティング(XSS)の防止やHTTPSの動作などを指定できる。

図2 クロスサイトスクリプティングの脅威もブロックできる 図2 クロスサイトスクリプティングの脅威もブロックできる

 まだ信頼されていないサイトを訪れ、JavaScriptやその他のオブジェクトがブロックされた場合には、図3のようにページ下部にその旨が表示される。ここで[Option]をクリックすることで、図4のようなポップアップメニューからそのサイトにおけるNoScriptの動作を指定することが可能。ここで[許可]を選択すればそのサイトがホワイトリストに追加される。[一時的に許可]の場合は一時的にブロックは解除されるが、ホワイトリストには追加されない。[Untrusted]メニューは、そのサイトを「信頼できないサイト」としてマークする。

図3 信頼されていないサイトはデフォルトでJavaScriptがブロックされる 図3 信頼されていないサイトはデフォルトでJavaScriptがブロックされる
図4 サイト毎のNoScriptの動作設定はワンクリックで可能 図4 サイト毎のNoScriptの動作設定はワンクリックで可能

 NoScriptは安全なインターネット利用のために必須の拡張と言えるだろう。

  • 新着記事
  • 特集
  • ブログ
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]