Internet Explorer 7のセキュリティ強化が生み出す互換性問題

Internet Explorer 7（IE7）に関するMicrosoftの主要な目標の1つは、Webブラウジングのセキュリティ強化だった。ところが、IE7に施されたセキュリティ関連の機能強化は、一部のWebサイトやアプリケーションとの間で互換性の問題を引き起こす可能性がある。

[Matt Rosoff，Directions on Microsoft]

問題発生の原因となるIE7の特性

　WebサイトやWebアプリケーションの開発者は、IE7の次のような特性を理解しておく必要がある。

拡張機能
　Windows Vistaでは、IE7はデフォルトの状態でプロテクトモードで実行する。このことは、IE7が低い特権しか持たないアプリケーションとして実行し、インターネット一時ファイルや履歴、ダウンロード、お気に入りなど、IE固有のフォルダにしか書き込みできないことを意味する。レジストリやその他のファイル、フォルダなど、OSのより高い特権エリアへの書き込みはできない。この事実は、IE内からアプリケーションを実行できる拡張機能と密接な関係がある。例えば、開発者は拡張機能を有効にして、コンテンツ（Webサーバ上にストアされたExcelのスプレッドシートなど）をユーザーのハードドライブ上の恒久的な位置に書き込むためには、特別なステップを踏まなければならない。

ActiveXコントロール
　ユーザーは、Windowsに付属するものやOEMでプレインストールされたものも含め、ActiveXコントロールの多くを明示的に有効化しなければならない。その結果、ActiveXコントロールに依存するWebページやWebアプリケーションは、ユーザーエクスペリエンスを混乱させたり、厄介にさせる可能性がある。

　Microsoftは開発者向けに、ActiveXコントロールをデフォルトで無効にされないための自己認証の方法を説明した指示書とともに、それらのコントロールの詳細（かつ厳格）なガイドラインを発行した。Microsoftは、ガイドラインに適合しないコントロールはすべて認定リストから削除する方針だ。こう考えると、開発者は可能な限りActiveXコントロールを避ける方が無難かもしれない。

　一方、プラスの側面を見れば、IE7はAJAXアプリケーションをActiveXコントロール経由ではなく、ネイティブJavaScriptオブジェクトとして実行するようになる。これにより共通タイプのコントロールの必要性はなくなる。

HTTPS
　IE7は、HTTPSページに次のような特性があった場合、エラーメッセージを表示する。

• SSLバージョン2プロトコルを利用している
• 40ビットまたは56ビット暗号（Vistaのみ）
• 期限切れやサイトのアドレスと適合しないアドレスなどを含むセキュリティ認証

　ユーザーはセキュリティの設定を変更して、一部のエラーページをバイパスすることができるが、無効な認証を持つサイトなどは、IE７から一切アクセスできない。

　IE7はまた、SSLページが"高い信頼性"を有しているときは、そうであることをユーザーに示す。それはサイトのオーナーが厳格なスクリーニングプロセスを行ったことを意味する（認証基準は現在、MicrosoftとComodo、Cybertrust、GeoTrust、Identrus、Go Daddy、VeriSign、X-Rampなどの認証団体によって策定中）。

無効な機能を含むサイト
　IE7はGopherやTelnet、DCF、ダイナミックHTMLスクリプレットなど、現在ほとんど利用されないオンライン技術については、もはやサポートしない。ダイレクトアニメーションDDLコンポーネントなどの機能も削除された。

サイト管理者がすべきこと

　無料でダウンロードできるツールキットを使って、IE7とアプリケーションの互換性をテストできる。IE7の変更点について懸念のある開発者は、そのツールキットを使うとともに、MSDNの新機能に関する詳細なドキュメントが参考になる。

　また、IE7にはユーザーに対するさまざまなアラートが用意されているため、サイト管理者は各自のサイトのコード（ActiveXを含む）が正しく署名され、認証が更新されているかどうか、しっかり確認しなければならない。また、電子商取引企業は新しい信頼性の高いSSL認証について、それぞれの認証団体に問い合わせることが必要だ。