研究者Katherine McKinley氏の最近の研究成果によれば、Adobe Flashのようなサードパーティのプラグインは、ブラウザのセッションの痕跡を消すことについてはあまり良い仕事をしておらず、プライベートブラウジング機能をやや無意味なものにしてしまっている。
iSec Partnersの研究者であるMcKinley氏は、ブラウザのプライベートモードでのセッション後にプライベートなデータを消す機能についてテストするツールを作成し、一部のブラウザはブラウザのセッションの痕跡をしっかり消していないことを明らかにした。その目立った例には、AppleのWindows用Safariが挙げられる。
(参照:Microsoft confirms ‘InPrivate’ IE 8)
McKinley氏は次のように警告している(PDFファイル)。
Adobe Flashなどのサードパーティのプラグインは、個々のどのブラウザやプラットフォームよりも普及しているが、あらゆる一般的なブラウザが提供しているデータ保護機能を弱めてしまっているようだ。ブラウザは永続ローカルストレージなどのプライバシに関する機能を多く導入しており、この種類の情報の管理を統合してほぼ一か所で行うようにしている。ユーザーは通常の方法で蓄積される情報とプライバシ情報を分けて管理したいと思っており、可能であれば一か所でそのデータを消去したり、別のブラウザを使ったり、プライベートブラウジングモードを使いたいと考えている。
プラグインは、ユーザーのプライバシを守るために余分の手順を必要とする。この分野のベストプラクティスは、GoogleのGearsでなどが行っているような、サイトにデータを保存するのを許す前にユーザーに問い合わせをし、ブラウザごとにデータを保存し、管理用のUIをブラウザのUIに統合するというものだ。Adobe Flashはこのような方法はひとつも取っておらず、黙ってウェブサイトがデータを保存することを許し、すべてのブラウザのデータを一か所で保存し、設定用のUIにアクセスするためにはユーザーはインターネットに接続しなくてはならない。
(参照:Major Web browsers fail password protection tests)
同氏はブラウザベンダーとプラグインベンダーに対し、自分たちのプラットフォームをより信頼できるものにするために協力し合うべきだと呼びかけた。
プラグインに特定のサイト、すべてのサイト、あるいは特定の範囲の日付のデータを消去する必要性があるなどの情報を伝えるための一連の標準APIを開発し、すべてのプラグインでそれを使わなければならないようにする必要がある。これらのAPIがない状態では、ローカルシステムのリソースを使う必要のあるプラグインは、ウェブサイトがローカルにデータを保存することを許す前にユーザーに問い合わせをすべきであり、管理用のインターフェースをブラウザの標準APIに統合すべきだ。
この調査で、McKinley氏は最新のブラウザにおけるデータの保存状況をテストした。これには、HTTPのクッキー、HTML 5のセッションストレージ、Mozilla Firefoxの永続ストレージ、HTML 5のデータベースストレージ、IEのuserData、Adobe Flash、Google Gearsが含まれている。
(参照:Firefox急遽プライベートモード追加へ:Mozillaの焦り?)
「プライベートブラウジング」オプションを持つAppleのWindows用Safariは、良い結果を残せなかった。
SafariのHTML 5のデータベースストレージは、プライベートデータをリセットした際にも消去されない。データベースを調べたり消去したりするには、ユーザーは設定のダイアログで「セキュリティ」を選択し、そのタブの「データベースを表示」ボタンをクリックする必要がある。IE 8 Beta 2では、実行されているインスタンスのデータが実際に消去するるにはブラウザを閉じる必要がある。どちらの場合も、実際のデータの消去には追加のアクションを行うことが必要となる。
さらに、次のような問題もある。
Windows用のSafariは、プライベートブラウジングに関するテストではもっとも悪い成績であり、プライベートモードに入る際にも、プライベートモードから抜ける際にも一切データを削除しない。OS X用のSafariの動作も不思議なものであり、HTML 5のデータベースストレージはプライベートモードに入る際もその後も消去されなかった。また、プライベートブラウジングセッションに入った場合にも、事前に設定されたクッキーは利用できてしまうようだが、ブラウザを立ち上げた直後にプライベートブラウジンを開始すれば、期待通りに動作するようだ。
この記事は海外CNET Networks発のニュースをシーネットネットワークスジャパン編集部が日本向けに編集したものです。海外CNET Networksの記事へ
-
ブックマーク(-)
- トラックバック(0)
- 印刷
-
- ボタン
- クリック
- インスタンス
- HTTP
- クッキー
- Mozilla
- Firefox
- Safari
- データベース
- ダイアログ
- セキュリティ
- タブ
- クリック
- サイト
- インスタンス
- 保存
- ユーザー
- リソース
- HTTP
- クッキー
- Mozilla
- Firefox
- ツール
- Apple
- Safari
- データベース
- ダイアログ
- セキュリティ
- タブ
- ボタン
- ユーザー
- リソース
- セッション
- ブラウザ
- プラグイン
- サードパーティ
- 保存
- IE 8 Beta 2
- 追加のアクション
- OS X用Safari
- HTML 5
- セッションストレージ
- データベースストレージ
- IE
- userData
- Google Gears
- リセット
- データベースを表示
- Gears
- IE 8 Beta 2
- データ
- 追加のアクション
- 問い合わせ
- OS X用Safari
- 管理用
- UI
- インターネット
- 接続
- ブラウザベンダー
- プラグインベンダー
- 信頼
- 特定のサイト
- すべてのサイト
- 日付
- 消去
- 標準API
- ローカルシステム
- HTML 5
- 無意味
- セッションストレージ
- プライベートモード
- テスト
- データベースストレージ
- IE
- Windows用Safari
- userData
- 警告
- Google Gears
- データ保護機能
- 永続
- リセット
- ローカルストレージ
- プライバシ
- プライバシ情報
- プライベートブラウジングモード
- データベースを表示
- ベストプラクティス
- Adobe Flash
- 接続
- 研究成果
- プラグインベンダー
- Katherine McKinley
- ブラウザベンダー
- プライベートブラウジング
- 消す
- ローカルシステム
- 痕跡
- 問い合わせ
- 標準API
- 消去
- 管理用
- 日付
- UI
- すべてのサイト
- 特定のサイト
- 信頼
- インターネット
「セキュリティ」 の新着情報
-
月額498円でノートン先生が保護--イー・モバイル、月額版ノートン 360提供
シマンテックは、イー・モバイルの月額制オプションサービス「EMセキュリティ」のユーザーを対象に、セキュリティソフト「ノ... - 日本PGP、ホワイトリスト活用するデータ保護とアプリ制御の新製品を発表
- TLSとSSLにゼロデイ脆弱性--セキュリティ研究家が明らかに
- MS、11月の月例パッチで「Windows」「Office」の脆弱性を修正すると事前通知
- 三井住友銀行、投資銀行部門のEUC基盤でセキュリティ対策強化
- セキュリティ 一覧へ »
「Zero Day」 のバックナンバー
-
フィッシング実験ですべてのスパムフィルタを迂回することに成功
最近行われた、倫理的フィッシングに関する実験では、テスト対象となったすべてのアンチスパムフィルタを出し抜くことに成功していた。 -
Shockwave Playerに深刻なセキュリティホール--アドビが修正パッチ公開
-
US-CERT、BlackBerryをねらったスパイウェアを警告
-
ボットネットに接続させるFacebookのパスワードリセットスパムが出回る
-
Operaに任意のコードが実行されるセキュリティホール
- Zero Day 一覧へ »
-
iPhoneをビジネスで活用する時代へ〜ビジネス&モバイルのミライ〜
- IT統制のためのセキュリティ統制ガイドライン 完全版
- サーバ、アプリ、ネットワーク監視の決定版! 低価格・マルチプラットフォーム対...
- 手作業での「添付ファイルパスワード化」「パスワード通知」よ、サヨウナラ!
- 【キヤノンマーケティングジャパン:BI導入事例】効果的な予算管理のあり方
- 企業コスト削減の傾向と対策 〜最新アプローチのトレンド〜
- データベースにおけるデータ管理の最新手法
- CNET Japan、ZDNet Japan に自社PRを自由に掲載できる。 企業情報センター「バリュ...
- 中堅企業におけるテクノロジーと成長
- ミドルウェア・SOAの導入価値、活用方法、選定方法、4つのポイント
企画特集
-
求めているのはSIerのエンジニア!!
連載インタビュー第1話、グリーCTO藤本氏が語る -
最大32個のセンサーが電力を徹底管理!
『省エネ性能』追求HPx86サーバー徹底レビュー -
大丈夫?あなたの会社のセキュリティ対策
中堅・中小企業のネットワーク・セキュリティを考える -
マネジメントの「コラム」と「コネタ」
今日のキーパーソンは誰? -
―エン・ジャパン厳選求人☆毎週更新―
ハンゲームの社長が語る・人材とサービスの在り方 -
100万円で実現!中小企業の情報漏えい対策
中小企業の課題!?セキュリティ管理者不在でも大丈夫 -
進むストレージ環境の見直し
仮想環境に最適なiSCSIストレージLeftHandのメリット -
企業ITシステムの企画、構築、運用のイロハ
戦略的なITシステムのために、今考えるべきポイント -
【最終警告】パンデミック対策特集
サービス品質を保証するためのリスクマネジメントとは -
VMware OEMベンダー6社を独占インタビュー
IBM、HP、NEC、DELL、日立、富士通のVMwareの取り組み -
急増するオンライン犯罪への解決策!
オンラインサービス保護ソリューション -
情報漏えいを食い止める!
証跡としての信用力を高めるメールアーカイブとは? -
J-SOX法制定により内部統制の整備が急務に
重要性高まるActive Directoryの課題と対処法を公開中
Intel Video Series
-
11. Lock分析とWait分析
この3分間のビデオでは、アプリケーションのクリティカルセクションを分... -
12. 高度な診断
この3分間のビデオでは、Intel parallel Composerが、Intel C++コンパイ...
新着企業動向
-
SEO対策のディーボ、検索数チェックツール 「aramakijake.jp」 のデータ拡充!
〜 約175万件...
ディーボ -
【東京会場】12/5(土)プログラミングからWeb デザインまで、高速・高機能のテキストエディ...
エムソフト -
事例のご紹介 Vol.14 | 情報インフラの全体最適化
EMCジャパン -
メールセキュリティSaaS『Mail Luck!セキュアタイプゲートウェイ』
NTTPCコミュニケーションズ(ネットワーク事業部) - 企業動向一覧へ»
