「Webセキュリティ (7)Same Origin Policy」というタイトルで社内勉強会を開催しました。今まで1回も公開してないんですが、実はセキュリティの社内講習会は7回目です。近いうちに残りの6回分も公開します。
まとめ
- Same Origin Policy
- 同一ホストだけ信用するポリシー
- 同一ホストのみ別URLのDOM操作が可能
- 崩されると間接攻撃されるのと同等の脅威
- 同一ホストだけ信用するポリシー
「信用できないユーザが同一バーチャルサーバにJS/HTMLを設置できる場合、セキュリティ的にアウトだよ」ということを再確認しました。
ムービー
発表資料
内容の補足など
「クロスサイト通信とセキュリティ」という章を時間の都合で削りました。このあたりもいずれ話したいところです。
参考資料
-
同一生成元ポリシー - MDC
- Mozillaの技術紹介ページ。
-
document.domainの書き換えとiframeのドメイン制限 - nopnopの日記
- iframeに関するSame Origin Policyはスーパードメイン方向に緩めることができます。その実験レポート。通常であればセキュリティリスクになり得ないと思いますが、知識として興味深いです。
-
Cross-Site XMLHttpRequest - MDC
- クロスサイトXHRについて、mozilla.orgの説明。
ちなみに、現状のXHRは同一ホストにしかアクセスできません。しかし、現在クロスサイトXHRという技術が提案されており、そろそろ実装されそうな状況です。セキュリティ面も考慮されており、サーバ側で許可している場合に限りクロスサイトアクセスができますが、crossdomain.xmlと同様、プログラマがうっかりしているとセキュリティホールになりかねないと思います。
コメント / トラックバックはありません
コメントする