Google Chrome 4で注目したいセキュリティ強化の新機能

Chrome 4にはXSS攻撃やCSRF攻撃、クリック乗っ取りといったさまざまな攻撃からサイトを守るための新機能が実装された。

» 2010年01月29日 07時46分 公開
[ITmedia]

 米Googleは先日Windows向けにリリースしたブラウザ更新版の「Google Chrome 4」に、Webサイト攻撃を防ぐための新たなセキュリティ機能を実装した。同社のChromiumブログでその内容について詳しく解説している。

 最初に紹介した「Strict-Transport-Security」は、強固な守りを要するWebサイトがブラウザに対し、通信には常にHTTPSを使うよう指示を出せる機能。この仕様はFirefox向け拡張機能のNoScriptに実装されており、PayPalなどのWebサイトが採用し始めているという。

 さらに、生成元の異なるフレーム間で通信チャンネルを確立するためのAPI「postMessage」、クロスサイトリクエストフォージリ(CSRF)攻撃からサイトを守るための「Origin Header」機能、クリック乗っ取り攻撃に対抗するための「X-Frame-Option」機能を取り入れた。X-Frame-OptionはMicrosoftのInternet Explorer(IE)8やAppleのSafari 4も導入済みだという。

 クロスサイトスクリプティング(XSS)の脆弱性を突いた攻撃が横行している現状に対しては、実験的機能として「リフレクティブXSSフィルタ」を実装した。同様の機能はIE 8とNoScriptでも提供しているが、Chromeの場合はレンダリングエンジンのWebKitにXSSフィルタを実装して攻撃検出力を高め、SafariやEpiphanyなどのWebKitを使ったブラウザでも同フィルタを利用できるようにしたとしている。

関連キーワード

Google | Google Chrome | XSS | ブラウザ | 新機能


関連ホワイトペーパー

Google(グーグル) | ブラウザ


企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック

過去のセキュリティニュース一覧はこちら

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ