Google Chrome 4で注目したいセキュリティ強化の新機能
Chrome 4にはXSS攻撃やCSRF攻撃、クリック乗っ取りといったさまざまな攻撃からサイトを守るための新機能が実装された。
米Googleは先日Windows向けにリリースしたブラウザ更新版の「Google Chrome 4」に、Webサイト攻撃を防ぐための新たなセキュリティ機能を実装した。同社のChromiumブログでその内容について詳しく解説している。
最初に紹介した「Strict-Transport-Security」は、強固な守りを要するWebサイトがブラウザに対し、通信には常にHTTPSを使うよう指示を出せる機能。この仕様はFirefox向け拡張機能のNoScriptに実装されており、PayPalなどのWebサイトが採用し始めているという。
さらに、生成元の異なるフレーム間で通信チャンネルを確立するためのAPI「postMessage」、クロスサイトリクエストフォージリ(CSRF)攻撃からサイトを守るための「Origin Header」機能、クリック乗っ取り攻撃に対抗するための「X-Frame-Option」機能を取り入れた。X-Frame-OptionはMicrosoftのInternet Explorer(IE)8やAppleのSafari 4も導入済みだという。
クロスサイトスクリプティング(XSS)の脆弱性を突いた攻撃が横行している現状に対しては、実験的機能として「リフレクティブXSSフィルタ」を実装した。同様の機能はIE 8とNoScriptでも提供しているが、Chromeの場合はレンダリングエンジンのWebKitにXSSフィルタを実装して攻撃検出力を高め、SafariやEpiphanyなどのWebKitを使ったブラウザでも同フィルタを利用できるようにしたとしている。
企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック
関連記事
「Google Chrome 4」の安定版リリース 拡張機能とブックマーク同期に対応
GoogleのWebブラウザの正式版「Chrome 4」では、1500以上の拡張機能が利用できるようになった。JavaScriptの実行速度は42%高速化した。
脆弱性に対処したGoogle Chromeの更新版、新しい拡張機能を提供
Chrome更新版では1500以上の新機能を利用できる拡張システムを提供し、パフォーマンスの大幅強化をうたっている。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
人気記事ランキング
- 「Java」が“死んだ言語”にならない納得の根拠
- DeepSeekのログインコードに中国通信企業との密接なリンク発覚
- 授業で個人PCの利用を許可した大学で大混乱が起きたワケ【BYOD成功の秘訣】
- 「RPAは無意味だった」と考えざるを得なくなる理由
- 情報セキュリティ10大脅威2025年版が公開 新たに加わった2つの脅威に注目
- Microsoft 365の個人向けプランが値上げ Copilot統合の価値は?
- macOSカーネルに重大な脆弱性 PoC公開済みのため即時アップデートを
- 中国製AIが犯罪者の武器に DeepSeekとAlibaba Qwenの危険性を指摘
- サイバーエージェント、DeepSeek(蒸留モデル)の日本語チューニングモデルを公開 何がうれしい?
- 企業のDXを加速する自律型AI 「AIエージェント」とはそもそも何か?
ITmediaはアイティメディア株式会社の登録商標です。