HTML5で生じる脆弱性と対策は? JPCERT/CCが報告書公開HTML5を利用した安全なWebアプリ開発のために

JPCERTコーディネーションセンターは、HTML5およびその周辺技術の利用によって生じ得る脆弱性とその対策、HTML5で追加されたセキュリティ機能などについてまとめた調査報告書を公開した。

» 2013年10月30日 21時40分 公開
[高橋睦美,@IT]

 JPCERTコーディネーションセンター(JPCERT/CC)は2013年10月30日、HTML5およびその周辺技術の利用によって生じ得る脆弱性とその対策、HTML5で追加されたセキュリティ機能などについてまとめた「HTML5を利用したWebアプリケーションのセキュリティ問題に関する調査報告書」を公開した。調査作業の一部は、ネットエージェントが委託を受けて実施した。報告書は、JPCERT/CCのWebサイトから無償でダウンロード可能だ。

 次世代のHTMLとして注目を集めるHTML5は、ブラウザ内でのデータ格納、クライアントとサーバ間での双方向通信、位置情報の取得などが可能となり、従来よりも柔軟かつ利便性の高いWebサイト構築が可能になると期待されている。一方で、こうした技術が攻撃者に悪用された場合の影響については、まだ検証、周知が進んでおらず、「セキュリティ対策がされないまま普及が進むことが危惧される」(JPCERT/CC)。

 報告書はこうした問題意識に立ち、HTML5を利用した安全なWebアプリケーション開発のための技術書やガイドラインのベースとなる体系的な資料を目指してまとめられた。

 具体的には、「クロスサイト・スクリプティング」や「クロスサイト・リクエスト・フォージェリ」といった従来から存在したWebアプリケーションの脆弱性が、HTML5で加わった新たな要素や属性を利用した場合にどのように発現する可能性があるかを解説し、新たに必要となる対策や考慮事項を紹介。また、HTML5で新たに追加されたvideoやaudioといったHTML要素やJavaScript API、XMLHttpRequestを利用した場合に作り込まれやすい脆弱性と対策も解説している。

 さらに、X-XSS-ProtectionやX-Content-Type-Optionsなど、一部のブラウザが実装している新しいセキュリティ機能にも触れている。

Copyright © ITmedia, Inc. All Rights Reserved.

スポンサーからのお知らせPR

注目のテーマ

Microsoft & Windows最前線2025
AI for エンジニアリング
ローコード/ノーコード セントラル by @IT - ITエンジニアがビジネスの中心で活躍する組織へ
Cloud Native Central by @IT - スケーラブルな能力を組織に
システム開発ノウハウ 【発注ナビ】PR
あなたにおすすめの記事PR

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。