My Photo

« 2013夏アニメ | Main | クロスドメインアクセス »

July 30, 2013

同一生成元ポリシー

能動的攻撃と受動的攻撃

能動的攻撃
攻撃者がサーバに直接攻撃し情報を盗む・情報を改ざんする・不正な操作を行うなどする。
受動的攻撃
・罠のあるサイトに誘導して閲覧させてマルウェアに感染させるなどする攻撃(単純な受動的攻撃)。
・正規サイトを改ざんしてアクセスしてきた利用者をマルウェアに感染させるなどする攻撃(正規サイトを悪用する受動的攻撃)。
・正規サイトを改ざんして仕掛けのあるHTMLをダウンロードさせ、利用者から攻撃先に攻撃用リクエストを送らせる攻撃(サイトをまたがった受動的攻撃)

サンドボックス

受動的攻撃を防ぐために、ブラウザ上で動くプログラムに対して次の2つの考え方がある。

  • 利用者に配布元を確認させた上で、利用者が許可した場合のみ実行する。
  • プログラムの「できること」を制限するサンドボックスという環境を用意する。

サンドボックス(sandbox)はjavascriptやJavaアプレット、Adobe Flash Playerなどで採用されている考え方。
サンドボックス内ではプログラムができることに制約があり、悪意のプログラムを作ろうとしても利用者者に被害が及ばないように配慮されている。
一般的にサンドボックスでは以下のように機能が制限される。

  • ローカルファイルへのアクセス禁止
  • プリンタなどの資源の利用禁止(画面表示は可能)
  • ネットワークアクセスの制限(同一生成元ポリシー)

同一生成元ポリシー

同一生成元ポリシー(Same Origin Policy(SOP))は1つの生成元からロードしたスクリプトによって別の生成元の文書内のプロパティーやメソッドが取得または操作されるのを防止するためのものである。
ユーザーがプロバイダとやり取りする場合、そのユーザーはそのサイトに送信された情報が他のサイトに漏れてしまうことを望まないという考え方に基づき、ユーザの情報を保護するためにある。
同一生成元であるということは以下の条件を満たすことである。

  • スキーム(プロトコル)が一致している。
  • ホスト(FQDN; Fully Qualified Domain Name)が一致している。
  • ポート番号が一致している。

同一生成元ポリシーによって、たとえば生成元Aと生成元Bがある場合、生成元AのWEBページでは以下の事ができない。

  • 生成元BへのXMLHttpRequestを使用した通信
  • frame/iframeの、生成元Bから生成されたコンテンツの読み取り、操作

同一生成元ポリシーがあってもアプリケーションに脆弱性があれば攻撃を受ける場合がある。
例えばframeやiframeにjavascriptを送りこまれて実行させることができた場合、同一生成元ポリシーの制約を受けないのでframe/iframeのコンテンツにアクセスできる。(クロスサイトスクリプティング(XSS)攻撃)。

参考文献:体系的に学ぶWEBアプリケーションの作り方 3.2 受動的攻撃と同一生成元ポリシー

体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践
徳丸 浩

ソフトバンククリエイティブ 2011-03-03
売り上げランキング : 4070

Amazonで詳しく見る
by G-Tools

参考ページ:
クライアント・サイドのソリューションによってクロスドメインの通信を改善する

« 2013夏アニメ | Main | クロスドメインアクセス »

セキュリティ」カテゴリの記事

プログラミング、技術情報」カテゴリの記事

Comments

Post a comment

(Not displayed with comment.)

TrackBack

TrackBack URL for this entry:
http://app.cocolog-nifty.com/t/trackback/26461/57896748

Listed below are links to weblogs that reference 同一生成元ポリシー:

« 2013夏アニメ | Main | クロスドメインアクセス »

May 2017
Sun Mon Tue Wed Thu Fri Sat
  1 2 3 4 5 6
7 8 9 10 11 12 13
14 15 16 17 18 19 20
21 22 23 24 25 26 27
28 29 30 31      
無料ブログはココログ

日本blog村

  • にほんブログ村 IT技術ブログへ
  • にほんブログ村 アニメブログへ
  • にほんブログ村 サッカーブログ アルビレックス新潟へ

好きな音楽家

メモ

XI-Prof