ニュース
» 2006年03月31日 07時00分 公開

Internet Explorer 7のセキュリティ強化が生み出す互換性問題

Internet Explorer 7(IE7)に関するMicrosoftの主要な目標の1つは、Webブラウジングのセキュリティ強化だった。ところが、IE7に施されたセキュリティ関連の機能強化は、一部のWebサイトやアプリケーションとの間で互換性の問題を引き起こす可能性がある。

[Matt Rosoff,Directions on Microsoft]
Directions on Microsoft 日本語版

問題発生の原因となるIE7の特性

 WebサイトやWebアプリケーションの開発者は、IE7の次のような特性を理解しておく必要がある。

拡張機能
 Windows Vistaでは、IE7はデフォルトの状態でプロテクトモードで実行する。このことは、IE7が低い特権しか持たないアプリケーションとして実行し、インターネット一時ファイルや履歴、ダウンロード、お気に入りなど、IE固有のフォルダにしか書き込みできないことを意味する。レジストリやその他のファイル、フォルダなど、OSのより高い特権エリアへの書き込みはできない。この事実は、IE内からアプリケーションを実行できる拡張機能と密接な関係がある。例えば、開発者は拡張機能を有効にして、コンテンツ(Webサーバ上にストアされたExcelのスプレッドシートなど)をユーザーのハードドライブ上の恒久的な位置に書き込むためには、特別なステップを踏まなければならない。

ActiveXコントロール
 ユーザーは、Windowsに付属するものやOEMでプレインストールされたものも含め、ActiveXコントロールの多くを明示的に有効化しなければならない。その結果、ActiveXコントロールに依存するWebページやWebアプリケーションは、ユーザーエクスペリエンスを混乱させたり、厄介にさせる可能性がある。

 Microsoftは開発者向けに、ActiveXコントロールをデフォルトで無効にされないための自己認証の方法を説明した指示書とともに、それらのコントロールの詳細(かつ厳格)なガイドラインを発行した。Microsoftは、ガイドラインに適合しないコントロールはすべて認定リストから削除する方針だ。こう考えると、開発者は可能な限りActiveXコントロールを避ける方が無難かもしれない。

 一方、プラスの側面を見れば、IE7はAJAXアプリケーションをActiveXコントロール経由ではなく、ネイティブJavaScriptオブジェクトとして実行するようになる。これにより共通タイプのコントロールの必要性はなくなる。

HTTPS
 IE7は、HTTPSページに次のような特性があった場合、エラーメッセージを表示する。

  • SSLバージョン2プロトコルを利用している
  • 40ビットまたは56ビット暗号(Vistaのみ)
  • 期限切れやサイトのアドレスと適合しないアドレスなどを含むセキュリティ認証

 ユーザーはセキュリティの設定を変更して、一部のエラーページをバイパスすることができるが、無効な認証を持つサイトなどは、IE7から一切アクセスできない。

 IE7はまた、SSLページが"高い信頼性"を有しているときは、そうであることをユーザーに示す。それはサイトのオーナーが厳格なスクリーニングプロセスを行ったことを意味する(認証基準は現在、MicrosoftとComodo、Cybertrust、GeoTrust、Identrus、Go Daddy、VeriSign、X-Rampなどの認証団体によって策定中)。

無効な機能を含むサイト
 IE7はGopherやTelnet、DCF、ダイナミックHTMLスクリプレットなど、現在ほとんど利用されないオンライン技術については、もはやサポートしない。ダイレクトアニメーションDDLコンポーネントなどの機能も削除された。

サイト管理者がすべきこと

 無料でダウンロードできるツールキットを使って、IE7とアプリケーションの互換性をテストできる。IE7の変更点について懸念のある開発者は、そのツールキットを使うとともに、MSDNの新機能に関する詳細なドキュメントが参考になる。

 また、IE7にはユーザーに対するさまざまなアラートが用意されているため、サイト管理者は各自のサイトのコード(ActiveXを含む)が正しく署名され、認証が更新されているかどうか、しっかり確認しなければならない。また、電子商取引企業は新しい信頼性の高いSSL認証について、それぞれの認証団体に問い合わせることが必要だ。

Copyright(C) 2007, Redmond Communications Inc. and Mediaselect Inc. All right reserved. No part of this magazine may be reproduced, stored in a retrieval system, or transmitted in any form or by any means without prior written permission. ISSN 1077-4394. Redmond Communications Inc. is an independent publisher and is in no way affiliated with or endorsed by Microsoft Corporation. Directions on Microsoft reviews and analyzes industry news based on information obtained from sources generally available to the public and from industry contacts. While we consider these sources to be reliable, we cannot guarantee their accuracy. Readers assume full responsibility for any use made of the information contained herein. Throughout this magazine, trademark names are used. Rather than place a trademark symbol at every occurrence, we hereby state that we are using the names only in an editorial fashion with no intention of infringement of the trademark.

注目のテーマ

マーケット解説

- PR -