Mozilla は、ユーザーのプライバシーとセキュリティを保護するために、安全に接続できるドメインのみを事前にロードした Firefox 用ドメイン リストを導入しました。
ブラウザとサーバー間の安全な接続を強制するために、Mozilla は HSTS (HTTP Strict Transport Security) を使用します。これは、接続するブラウザが安全な接続を使用する必要があることをサーバーが示すメカニズムです。Mozilla の David Keeler 氏はブログ投稿でこのように述べています。
しかし、ブラウザがHSTSサーバーに初めて接続する際、そのホストからHSTSヘッダーを受信していないため、ブラウザは安全な接続を使用すべきかどうかを判断できません。「その結果、アクティブなネットワーク攻撃者はブラウザが安全に接続できないようにする可能性があります(さらに悪いことに、ユーザーは何かがおかしいことに気付かない可能性があります)」とキーラー氏は述べ、このような接続設定では依然として攻撃に対して脆弱なままだと付け加えています。
この問題の回避策として、Mozilla は、ブラウザがデフォルトで安全に接続できるドメインのリストを Firefox に追加しました。
「ユーザーがこれらのホストに初めて接続する際、ブラウザは安全な接続を使用する必要があることを認識します。ネットワーク攻撃者がサーバーへの安全な接続を妨害した場合、ブラウザは安全でないプロトコルでの接続を試みないため、ユーザーのセキュリティが維持されます」とキーラー氏は述べています。
このリストは、MozillaのHSTSプリロードリストと同様の機能を持つChromeのHSTSプリロードリストからドメインを抽出したものです。Google Chromeは、google.comのすべてのサブドメインに対してセキュア接続を強制するだけでなく、リクエストがあったサイトに対してはHTTPS接続を強制するようになりました。セキュア接続は、paypal.com、twitter.com、lastpass.com、torproject.orgなどのサイトで強制されます。
「HSTSとプリロードされたサイトリストを組み合わせることで、ユーザーのセキュリティを強化するための優れたツールとなり得ます」とキーラー氏は述べている。この機能は現在、Firefoxベータ版にのみ搭載されている。
Loekはアムステルダム特派員で、IDGニュースサービスでオンラインプライバシー、知的財産、オープンソース、オンライン決済に関する問題を取り上げています。Twitterで@loekessersをフォローするか、[email protected]までメールでアドバイスやご意見をお寄せください。
