研究者Katherine McKinley氏の最近の研究成果によれば、Adobe Flashのようなサードパーティのプラグインは、ブラウザのセッションの痕跡を消すことについてはあまり良い仕事をしておらず、プライベートブラウジング機能をやや無意味なものにしてしまっている。
iSec Partnersの研究者であるMcKinley氏は、ブラウザのプライベートモードでのセッション後にプライベートなデータを消す機能についてテストするツールを作成し、一部のブラウザはブラウザのセッションの痕跡をしっかり消していないことを明らかにした。その目立った例には、AppleのWindows用Safariが挙げられる。
(参照:Microsoft confirms ‘InPrivate’ IE 8)
McKinley氏は次のように警告している(PDFファイル)。
Adobe Flashなどのサードパーティのプラグインは、個々のどのブラウザやプラットフォームよりも普及しているが、あらゆる一般的なブラウザが提供しているデータ保護機能を弱めてしまっているようだ。ブラウザは永続ローカルストレージなどのプライバシに関する機能を多く導入しており、この種類の情報の管理を統合してほぼ一か所で行うようにしている。ユーザーは通常の方法で蓄積される情報とプライバシ情報を分けて管理したいと思っており、可能であれば一か所でそのデータを消去したり、別のブラウザを使ったり、プライベートブラウジングモードを使いたいと考えている。
プラグインは、ユーザーのプライバシを守るために余分の手順を必要とする。この分野のベストプラクティスは、GoogleのGearsでなどが行っているような、サイトにデータを保存するのを許す前にユーザーに問い合わせをし、ブラウザごとにデータを保存し、管理用のUIをブラウザのUIに統合するというものだ。Adobe Flashはこのような方法はひとつも取っておらず、黙ってウェブサイトがデータを保存することを許し、すべてのブラウザのデータを一か所で保存し、設定用のUIにアクセスするためにはユーザーはインターネットに接続しなくてはならない。
(参照:Major Web browsers fail password protection tests)
同氏はブラウザベンダーとプラグインベンダーに対し、自分たちのプラットフォームをより信頼できるものにするために協力し合うべきだと呼びかけた。
プラグインに特定のサイト、すべてのサイト、あるいは特定の範囲の日付のデータを消去する必要性があるなどの情報を伝えるための一連の標準APIを開発し、すべてのプラグインでそれを使わなければならないようにする必要がある。これらのAPIがない状態では、ローカルシステムのリソースを使う必要のあるプラグインは、ウェブサイトがローカルにデータを保存することを許す前にユーザーに問い合わせをすべきであり、管理用のインターフェースをブラウザの標準APIに統合すべきだ。
この調査で、McKinley氏は最新のブラウザにおけるデータの保存状況をテストした。これには、HTTPのクッキー、HTML 5のセッションストレージ、Mozilla Firefoxの永続ストレージ、HTML 5のデータベースストレージ、IEのuserData、Adobe Flash、Google Gearsが含まれている。
(参照:Firefox急遽プライベートモード追加へ:Mozillaの焦り?)
「プライベートブラウジング」オプションを持つAppleのWindows用Safariは、良い結果を残せなかった。
SafariのHTML 5のデータベースストレージは、プライベートデータをリセットした際にも消去されない。データベースを調べたり消去したりするには、ユーザーは設定のダイアログで「セキュリティ」を選択し、そのタブの「データベースを表示」ボタンをクリックする必要がある。IE 8 Beta 2では、実行されているインスタンスのデータが実際に消去するるにはブラウザを閉じる必要がある。どちらの場合も、実際のデータの消去には追加のアクションを行うことが必要となる。
さらに、次のような問題もある。
Windows用のSafariは、プライベートブラウジングに関するテストではもっとも悪い成績であり、プライベートモードに入る際にも、プライベートモードから抜ける際にも一切データを削除しない。OS X用のSafariの動作も不思議なものであり、HTML 5のデータベースストレージはプライベートモードに入る際もその後も消去されなかった。また、プライベートブラウジングセッションに入った場合にも、事前に設定されたクッキーは利用できてしまうようだが、ブラウザを立ち上げた直後にプライベートブラウジンを開始すれば、期待通りに動作するようだ。
この記事は海外CNET Networks発のニュースをシーネットネットワークスジャパン編集部が日本向けに編集したものです。海外CNET Networksの記事へ
-
ブックマーク(-)
- トラックバック(0)
- 印刷
-
- インスタンス
- クリック
- サイト
- Mozilla
- データベース
- Firefox
- ダイアログ
- ツール
- セキュリティ
- Apple
- タブ
- ボタン
- HTTP
- クッキー
- Safari
- ブラウザ
- プラグイン
- サードパーティ
- ユーザー
- リソース
- 保存
- セッション
- IE 8 Beta 2
- データ
- 追加のアクション
- OS X用Safari
- Gears
- セッションストレージ
- リセット
- プライベートモード
- ローカルストレージ
- テスト
- プライバシ
- データベースストレージ
- プライバシ情報
- IE
- プライベートブラウジングモード
- Windows用Safari
- データベースを表示
- userData
- 警告
- ベストプラクティス
- Google Gears
- データ保護機能
- HTML 5
- 無意味
- 永続
- 消去
- Adobe Flash
- 管理用
- 接続
- 研究成果
- 日付
- プラグインベンダー
- UI
- Katherine McKinley
- ブラウザベンダー
- すべてのサイト
- プライベートブラウジング
- 特定のサイト
- 信頼
- 消す
- インターネット
- ローカルシステム
- 痕跡
- 問い合わせ
- 標準API
「セキュリティ」 の新着情報
-
日本IBM、ICカードや生体認証デバイスに対応したアクセス管理製品の新バージョン
日本IBMは、アクセス管理ソフトウェアの最新版である「IBM Tivoli Access Manager for Enterprise Single Sign-On V8.1」を発... - IE 7のゼロデイ脆弱性に攻撃コードが公開される
- Operaにセキュリティパッチ--「極めて重大」な脆弱性を修正
- 「iPhone」と「iPod touch」を狙う危険なワームが出現
- マイクロソフト、「IE」のCSS処理に関する脆弱性を調査中と発表
- セキュリティ 一覧へ »
「Zero Day」 のバックナンバー
-
Operaにセキュリティパッチ--「極めて重大」な脆弱性を修正
Operaに3件の脆弱性が修正されたバージョン10.10が公開された。そのうち1件は「非常に重大」な脆弱性であり、Operaユーザーは速やかにアップグレードを行うべきだ。 -
マイクロソフトがGoogle Chrome Frameにセキュリティホールを発見
-
モジラがFirefox 3.6で悪質アドオン対策を実装
-
Windows 7の脆弱性に対する攻撃コードが公開される
-
アップルはなぜWindowsのAutoRunに干渉しようとするのか
- Zero Day 一覧へ »
-
【導入事例集】多業種から評価されているWeb会議システム、24社の導入事例をご紹介
- POSデータを活用し、売上アップを導く「分析力」とは?
- 日本モバイルインターネット端末市場分析 〜2008〜2012年のMID及びスマートフォン...
- BIベンダーの選び方 −BIベンダー選定のための評価フレームワーク
- ストレージ問題の課題に対する解決方法
- 【日産自動車:BI導入事例】連結対象の36社からの情報を元に車種別損益管理を実現
- 企業コスト削減の傾向と対策 〜最新アプローチのトレンド〜
- HP LeftHandが仮想化環境の構築の効率を向上させた3社の事例集
- 中堅企業におけるテクノロジーと成長
- iPhoneをビジネスで活用する時代へ〜ビジネス&モバイルのミライ〜
企画特集
-
高まるiSCSIストレージへの注目度
ストレージシステムの4つの課題とiSCSI導入のメリット -
―エン・ジャパン厳選求人☆毎週更新―
ハンゲームの社長が語る・人材とサービスの在り方 -
電力に"ふた"をする独自の省エネ機能とは!?
動的に電力割り当ても可能なHPの最新鋭ブレードに迫る -
マネジメントの「コラム」と「コネタ」
今日のキーパーソンは誰? -
大丈夫?あなたの会社のセキュリティ対策
中堅・中小企業のネットワーク・セキュリティを考える -
グリー、3人のエンジニアが語る仕事への想い
連載第2話、元SIerに聞くリニューアルと開発の舞台裏 -
企業ITシステムの企画、構築、運用のイロハ
戦略的なITシステムのために、今考えるべきポイント -
【最終警告】パンデミック対策特集
サービス品質を保証するためのリスクマネジメントとは -
100万円で実現!中小企業の情報漏えい対策
中小企業の課題!?セキュリティ管理者不在でも大丈夫 -
容量制限によるメール消去は一切無し!
全てを保存するメールセキュリティSaaSが登場 -
J-SOX法制定により内部統制の整備が急務に
重要性高まるActive Directoryの課題と対処法を公開中 -
急増するオンライン犯罪への解決策!
オンラインサービス保護ソリューション
ZDNet Japan イベント
- 開催日:2009年11月26日(木)
- イベント一覧へ»
Intel Video Series
-
7. ホットスポットと同時並列性分析について
この3分間のビデオは、Intel Parallel Studioの一部であり、アプリケー... -
8. Valarray
この5分間のビデオでは、Intelコンパイラの1次元Valarrayデータ構造に対...
新着企業動向
-
エネルギー管理とホームエリアネットワーク
データリソース -
ポイントは、『シンプル&セキュア』、限れたリソースで効果的にセキュリティを高める方法
ミラポイントジャパン -
【EMC Mail News】シスコ、EMC、VMwareの3社が新しい連合組織「Virtual Computing Environme...
EMCジャパン -
メールセキュリティSaaS『Mail Luck!セキュアタイプ』
NTTPCコミュニケーションズ(ネットワーク事業部) - 企業動向一覧へ»
