ここが危ない!Web2.0のセキュリティ

第2回 Same-Originポリシーと迂回技術

この記事を読むのに必要な時間:およそ 2 分

Same-Originポリシー

第2回はAjaxに関するセキュリティモデルを紹介します。第1回で紹介した,Ajaxを用いてリクエストを送信するコードをもう一度見てみましょう。

Ajaxを使い通信を行う部分は次のように記述しました。

req.open('GET', 'http://www.example.com/contents.txt');

このURLの部分を,HTMLファイルが置かれているサーバとは別のドメインのURLに書き換えてみます。するとリクエストは送信されなくなったと思います。

これはセキュリティ上の理由から,他のドメインのサイトへはリクエストを送信できないように制限がかけられているためです。この制限のことをSame-Originポリシーと呼びます(他にもSame-Originルール,クロスドメインセキュリティモデルとも呼ばれます)。一方,他のサイトへアクセスすることをクロスドメインアクセスと呼びます。

図1 Same-Originポリシー

図1 Same-Originポリシー

Same-Originポリシーの必要性

それではなぜSame-Originポリシーが必要なのかを理解するために,もしSame-Originポリシーを破ってクロスドメインアクセスが行われた場合にどのようなことが起こるかを考えてみます。

ユーザはWebメールを提供しているサイトにログインし,メールを読んでいるとします。

図2 クロスドメインアクセス

図2 クロスドメインアクセス

ユーザはメールを読んでいる最中に用事を思い出し,www.securesky-tech.comにアクセスしに行きました。…(1)

このときwww.securesky-tech.comのサイトにリスト1のようなスクリプトが書かれていたとします。…(2)

リスト1 

<script language="javascript">
  var req;
  if( window.XMLHttpRequest){
    req = new XMLHttpRequest();
  }else if(window.ActiveXObject){
    try {
      req = new ActiveXObject("MSXML2.XMLHTTP");
    } catch (e) {
      req = new ActiveXObject("Microsoft.XMLHTTP");
    }
  }
  if (req) {
    req.open('GET', 'http://mail.example.com/mail/index.html'); // (3)クロスドメインアクセス
    req.onreadystatechange = function() {
      if (req.readyState == 4) {
        sendtoAttacker(req.responseText); // (4)取得した情報を攻撃者のサーバへ送信
      }
    }
    req.send(null);
  }
</script>

するとWebメールのサイトにリクエストが送信されます。…(3)

その結果,レスポンスとしてWebメールにログイン後の画面を取得することができます。なぜなら,認証情報を格納しているCookieというデータは,Webメールのサイトにアクセスするたびにブラウザが自動的に送信する仕組みになっているためです。

その後,取得した画面の内容が攻撃者のサイトに送られます。…(4)

このように,もしSame-Originポリシーが存在していなければ,個人情報が盗まれ放題になってしまいます。

実際にはクロスドメインアクセスは禁止されていますので,上記で説明したようなことは起こりません。www.securesky-tech.comとmail.example.comはドメインが異なるので,アクセスできないようになっています。

なお,同じドメインであってもポート番号やプロトコル(HTTPとHTTPSなど)が異なれば,異なるサイトとみなされアクセスできません。また,Same-OriginポリシーはAjax(XMLHttpRequestオブジェクトを使用した通信)にだけ存在するわけではなく,スクリプトを用いてフレームやサブウインドウの情報にアクセスする場合などにも存在しており,Webの世界での基本的なルールとなっています。

著者プロフィール

福森大喜(ふくもりだいき)

株式会社セキュアスカイ・テクノロジー CTO。大学の授業で作成したプログラムのセキュリティホールを指摘されたのがきっかけでセキュリティの道に進む。セキュリティベンダーでIDS,IRT等に従事した後,Webアプリケーションのセキュリティ検査サービスを立ち上げる。2006年4月に株式会社セキュアスカイ・テクノロジーを設立。

URLhttp://www.securesky-tech.com/

コメント

コメントの記入