トピック - エンタープライズソフトウェア
出版
Google のブラウザ セキュリティ ハンドブックには、特定の使用コンテキスト内でブラウザがどのように動作するかを詳細に知りたい場合に役立つ情報が満載されています。
ブラウザが内部でどのように動作し、どのように情報を処理するのか、疑問に思ったことはありませんか?セキュリティ調査や技術分析に携わる方なら、その答えは「イエス」でしょう。しかし、主要なブラウザすべてについて、こうした情報を網羅したリソースはそれほど多くありません。その中でも、特に注目すべきリソースの一つが、Googleのブラウザセキュリティハンドブックです。
この無料ハンドブックでは、表 1 に記載されている、現在使用されているすべてのブラウザのセキュリティ上の課題について説明します。
情報は3つの部分に分かれています。
- Webブラウザの基本概念
- 標準的なブラウザセキュリティ機能
- 実験的および従来のセキュリティメカニズム
一般的なセキュリティ情報に加え、このドキュメントの作成に使用されたテストケースもダウンロードできます。テストシナリオは、特定の条件下で各ブラウザのセキュリティを検証するために開発されました。例えば、Cookieの同一オリジンポリシーのテスト結果を図1に示します。
このマニュアルはすべての人向けではありません。特定の攻撃や一般的な使用状況において、各ブラウザがどのように対応するかを深く理解できるように書かれています。しかしながら、専業のセキュリティ研究者でなくても、この情報に目を通す価値がある理由をいくつか挙げます。
- 開発者は、安全なコーディングの実践が実際に最も多くのユーザーにどのような影響を与えるかをより深く理解することができます。
- セキュリティ管理者は、フィルタリングされていないブラウジングが必要な場合にどのブラウザを許可し、どのブラウザをブロックするかを決定できます。
- 侵入テスト担当者はこれらの結果を利用して、より包括的なテストシナリオを開発することができます。
- セキュリティ管理者は、潜在的な攻撃ベクトルをより深く理解し、ブラウザの脆弱性を防止、検出、対応するための追加の制御レイヤーを実装できるようになります。
- この情報をエグゼクティブ概要にまとめると、Webフィルタリング技術の導入、ビジネスユーザーのローカル管理者アクセスの排除、またはセキュリティで必要なサポート保護が適用されている1つか2つのブラウザへのブラウジングの制限などに役立つ可能性があります。
- 我々は、この結果を利用して、お気に入りの(あるいはあまり好きではない)ブラウザベンダーを打ち負かすことができるので、いつか、すべての合理的な安全動作テストに合格するブラウザが少なくとも1つは登場するかもしれない。
トム・オルザック
トムはInfoSec Instituteのセキュリティ研究者であり、30年以上の経験を持つITプロフェッショナルです。著書に『Just Enough Security』、『Microsoft Virtualization』、『Enterprise Security: A Practitioner's Guide』(2013年第1四半期刊行予定)の3冊があります。民間企業に就職する前は、アメリカ陸軍憲兵隊に10年間勤務し、そのうち4年間は憲兵捜査官を務めました。MBAとCISSPの資格を取得しており、フェニックス大学のオンライン講師も務めています。
