ニュース
» 2006年08月08日 17時48分 UPDATE

MS開発者、RSSのセキュリティ対策を解説

Black Hat Briefingsで発表された「RSSインジェクション」攻撃が議論を呼んでいるが、Microsoftは幾つかの対策を講じている。

[ITmedia]

 ハッカーカンファレンスでRSSのセキュリティリスクが指摘され、RSSコミュニティーで議論を呼んでいる。Microsoftはこれを受けて、同社のRSSセキュリティ対策について説明した。

 先週開催されたBlack Hat Briefingsで、セキュリティコンサルティング企業SPI Dynamicsの研究者は、フィードに不正なJavaScriptを埋め込んでRSS経由で配信する「RSSインジェクション」という攻撃手法について解説した。

 研究者らは、RSSクライアントはフィードを介して配信されるコンテンツを信用しすぎていると指摘、不正なコンテンツがフィードに含まれていても、多くのRSSクライアントはそれを防げないと主張した。

 MicrosoftのRSS担当チームはこれに対し、Internet Explorer 7(IE 7)およびWindows RSS Platformで実装しているフィード内の不正スクリプトへの対処策について8月7日付の公式ブログで説明している。

 同社の対策の1つが「Sanitization(消毒)」だ。RSS Platformはフィードをダウンロードする際に、フィードを「消毒」プロセスに通し、HTMLフィールドのスクリプトを取り除いている。このような対策が施されてから、IE 7のFeed Viewなどのアプリケーションがフィードコンテンツにアクセスできるようになるという。

 またIE 7 Feed Viewはどこから来たフィードでも制限付きサイトゾーンで表示する。このゾーンではデフォルトでスクリプトが無効化されている。

 さらにIEを自分のアプリケーションでホスティングしている開発者に対し、Microsoftはホストアプリケーションにカスタムセキュリティマネージャを実装するよう勧めている。これにより、どのURL Actionを許可するかをアプリケーションが制御できるようになるという。

Copyright© 2016 ITmedia, Inc. All Rights Reserved.

Loading

ピックアップコンテンツ

- PR -

マーケット解説

- PR -