<前の日記(2004年04月26日) 次の日記(2004年04月28日)> 最新 編集

高木浩光@自宅の日記

目次 はじめに 連絡先:blog@takagi-hiromitsu.jp
訪問者数 本日: 3081   昨日: 3315

2004年04月27日

JavaScript & Cookie対応携帯電話はXSSからおさらばできるか

昨日の日記にも書いたようにOperaを搭載したPHS端末「AH-K3001」は、携帯電話のWeb利用の新たな一歩を踏み出す可能性を秘めている。

京セラの発表資料によると、

■「Opera」ブラウザを搭載することで、HTML(パソコン用)サイトの閲覧が可能※

(略)

※サイトにより一部ご覧いただけない場合があります。

◎JavaScript対応により、パソコンで表示されるままの動きある豊かなホームページの表現を「AH-K3001V」にて再現することが可能です。

◎SSL対応によりインターネットショッピングも行えます。

またCookieにも対応しており、対応サイトへは一度IDやパスワードを入力すれば、次回からはID、パスワードを入力することなく直接アクセスすることが可能です。

とある。

携帯電話のcookie対応はEZweb陣営で既に達成されているが、JavaScript対応は初であろう。気になるのは、JavaScript対応がどこまでの範囲で行われているかだ。

PCの世界でもJavaScriptには複数の仕様があって混乱状態になっている。Microsoftは「JScript」と呼び、IEには独自の機能が大量にある。Netscapeにも古くは独自の変な機能があった。Operaも、「history.previous」などの独自の機能を無分別に入れてセキュリティを台無しにした前科がある。「JavaScript対応」とは元々そういうものなので、「完全対応」する必要はないだろう。広く用いられている機能にだけ対応すれば十分で、ときどき使えないサイトがあってもしかたない。そんなサイトを作る方が悪いと言える。

問題は、JavaScriptからcookieにアクセスする機能、つまり「document.cookie」というプロパティの機能が搭載されているかどうかだ。

もしこの機能が削られているならば、たとえWebサイト側にXSS(クロスサイトスクリプティング)脆弱性があったとしても、それによってcookieを盗まれることはない。

PCのWebの世界では、document.cookieなぞというものが発明されて普及してしまったために、XSS脆弱性というやっかいなセキュリティ課題を抱えることとなってしまい、Webアプリケーション自体が危なっかしいものになってしまった。

Netscape 7等では、docment.cookieによるcookieの読み書き機能をオフにする設定ができるようになった。ここをオフにすれば、サイト側のXSS脆弱性によってcookieを盗まれることを防止できる。

携帯電話のブラウザでは、どのみち完全なPC向けWebサイト対応は期待されていないのだから、この際思い切って、document.cookie機能を搭載しないでおいたらどうか。「セキュリティを重視して危ない機能は排除した」と主張すればよい。

一部の掲示板等でdocument.cookieが使われている(cookieで覚えさせたハンドルやメールアドレスを名前欄、E-mail欄に表示するため)が、JavaScriptを使わなくともCGI側で同じことを実現できるのだから、こんな機能はなくなってもかまわないはずだ。

検索

<前の日記(2004年04月26日) 次の日記(2004年04月28日)> 最新 編集

最近のタイトル

2018年06月17日

2018年06月10日

2018年05月19日

2018年05月04日

2018年03月07日

2017年12月29日

2017年10月29日

2017年10月22日

2017年07月22日

2017年06月04日

2017年05月13日

2017年05月05日

2017年04月08日

2017年03月10日

2017年03月05日

2017年02月18日

2017年01月08日

2017年01月04日

2016年12月30日

2016年12月04日

2016年11月29日

2016年11月23日

2016年11月05日

2016年10月25日

2016年10月10日

2016年08月23日

2016年07月23日

2016年07月16日

2016年07月02日

2016年06月12日

2016年06月03日

2016年04月23日

2016年04月06日

2016年03月27日

2016年03月14日

2016年03月06日

2016年02月24日

2016年02月20日

2016年02月11日

2016年02月05日

2016年01月31日

2015年12月12日

2015年12月06日

2015年11月23日

2015年11月21日

2015年11月07日

2015年10月20日

2015年07月02日

2015年06月14日

2015年03月15日

2015年03月10日

2015年03月08日

2015年01月05日

2014年12月27日

2014年11月12日

2014年09月07日

2014年07月18日

2014年04月23日

2014年04月22日

2000|01|
2003|05|06|07|08|09|10|11|12|
2004|01|02|03|04|05|06|07|08|09|10|11|12|
2005|01|02|03|04|05|06|07|08|09|10|11|12|
2006|01|02|03|04|05|06|07|08|09|10|11|12|
2007|01|02|03|04|05|06|07|08|09|10|11|12|
2008|01|02|03|04|05|06|07|08|09|10|11|12|
2009|01|02|03|05|06|07|08|09|10|11|12|
2010|01|02|03|04|05|06|07|08|09|10|11|12|
2011|01|02|03|05|06|07|08|09|10|11|12|
2012|02|03|04|05|06|07|08|09|
2013|01|02|03|04|05|06|07|
2014|01|04|07|09|11|12|
2015|01|03|06|07|10|11|12|
2016|01|02|03|04|06|07|08|10|11|12|
2017|01|02|03|04|05|06|07|10|12|
2018|03|05|06|
<前の日記(2004年04月26日) 次の日記(2004年04月28日)> 最新 編集