署名付きスクリプト
署名付きスクリプト(Signed Scripts)は、クライアント(ユーザー)のコンピュータに関する、ある特定の重要情報にアクセスするために使用されます。署名付きスクリプトはLiveConnectとJava Capabilities APIを使って、この重要情報にアクセスします。このモデルでは、外部JavaScriptファイルにセキュリティ証明書で「署名」することができます。セキュリティ証明書は指紋に似ており、開発者や開発者の組織に固有のものです。セキュリティ証明書はNetscapeのPage Signerツールを使って作成できます。このツールはhttp://developer.netscape.com から無料で入手できます(編集部注:2009/02/26時点でリンク切れになっています)。Site MapでToolsを選択してください。
NetscapeのPage Signerツールを使用すると、独自のオンラインセキュリティIDを作成できます。このツールはセキュリティ証明書とコードの両方が含まれたJAR(Java Archive)ファイルを作成します。ドキュメント内にARCHIVE属性が設定されたHTML SCRIPTタグがあると、ブラウザはコードを実行する前に検証を行います。アラートボックスがポップアップするので、ユーザーはスクリプトの実行を許可するか拒否するかを選択できます。スクリプトが外部.jsファイル内ではなくドキュメント内に含まれている場合、JARファイルにはセキュリティIDだけが含まれますが、やはりARCHIVE属性を使ってアクセスされます。
ユーザーがスクリプトの実行を許可または拒否できるようにしたことで、Netscapeはユーザー判断によるセキュリティという新たなセキュリティレベルを実現しました。これは頻度が高すぎるとユーザー側の負担になるという意見もあります。つまり、どの領域のスクリプトを実行してよいかとブラウザがたびたび質問してくるので、ユーザーにとって煩わしく感じられるということです。どの領域のスクリプトに対して許可/拒否のアラートボックスを出すかは、netscape.security.PrivilegeManager.enablePrivilege()というJavaメソッドを使って設定します。開発者がユーザーに確認を求めるために使用できるオプションは次のとおりです。
- UniversalBrowserAccess ― ブラウザでの特権データの読み取りと書き込みを許可します。
- UniversalBrowserRead ― ブラウザでの特権データの読み取りのみを許可します。ブラウザ内でDragDropの値を取得したり、historyオブジェクトを使用したりするときに必要です。
- UniversalBrowserWrite ― ブラウザでの特権データの書き込みのみを許可します。eventオブジェクトのいずれかのプロパティを使用したり、ブラウザのコンテンツバー(ステータスバーやメニューバーなど)のいずれかを追加または削除したり、スクリプト内でwindowオブジェクトの値を設定したりするときに必要です。
- UniversalFileRead ― ユーザーのコンピュータのファイルシステムの読み取りを許可します。
fileUpload()メソッドを使用するときに必要です。 - UniversalPreferencesRead ― スクリプトによるブラウザの環境設定の読み取りと報告を許可します。
- UniversalPreferencesWrite ― スクリプトによるブラウザの環境設定の変更を許可します。
- UniversalSendMail ― スクリプトによるユーザーの名前を使った電子メールの送信を許可します。スクリプト内でnews:またはmailto:属性を使用するときに必要です。
それぞれの方式の長所と短所についてはお分かりいただけたかと思います。Microsoft Internet ExplorerとNetscape Navigatorという2つの主要なブラウザはそれぞれ異なるセキュリティ基準を備えています。Internet Explorerでは同一生成元ポリシーを使用しており、Netscapeでは署名付きスクリプトを使用しています。どちらにも、それなりの良さがあります。セキュリティを実施しようとすると分かりますが、苛立たしいのは両者が非常に異なっていることです。それぞれでまったく異なるディレクトリパスが必要になることもあり、ブラウザごとに違った作業を強いられるので、セキュリティ作業が実質的に2倍になります。
まとめ
本稿によって、ユーザーが遭遇する可能性のあるセキュリティ上の問題への理解と、JavaScriptコーディングに関する問題の回避方法への理解が進むことを願っています。コーディングを行う際には、本稿で取り上げた潜在的なセキュリティ上の問題に注意を払ってください。同一生成元ポリシー、データ汚染ポリシー、および署名付きスクリプトは、そうしたセキュリティギャップを埋めるのに役立ちます。
