バッキーの日々是爆食

アクセスカウンタ

zoom RSS Firefox : 拡張機能 "RequestPolicy"で CSRFを防ぐ

<<   作成日時 : 2012/10/24 13:39   >>

なるほど(納得、参考になった、ヘー) ブログ気持玉 1 / トラックバック 0 / コメント 0

ここのところパソコンを遠隔操作されて誤認逮捕された事件が世間を騒がせていますね。
当初は「コンピュータウィルス」の感染が原因だと報道されていましたが、犯行声明(?)から"Javascriptのクロスサイトリクエストフォージェリ(CSRF)"によるものだということが明らかになってきました。
CSRFとは「Webサイトにスクリプトや自動転送(HTTPリダイレクト)を仕込むことによって、閲覧者に意図させず別のWebサイト上で何らかの操作(掲示板への書き込みなど)を行わせる攻撃手法」で、ウェブサイトを閲覧していて簡単にやられてしまいます。(引用:http://e-words.jp/w/CSRF.html)
そこで、CSRFを防ぐ Firefoxの拡張機能 "RequestPolicy"をご紹介します。

"RequestPolicy"は開いたWebサイトからさらに発行される他のサイトへのHTTPリクエストや他のサイトへのリダイレクトを制御する拡張機能です。
この拡張機能を用いることで基本的に他のサイトへのHTTPリクエストとリダイレクトは禁止され、別途許可を出すまで他のサイトにアクセスできなくなります。

"RequestPolicy"のインストールは簡単です。
mozillaの拡張機能のページで "RequestPolicy"を開き 「+ Firefoxに追加」ボタンを押すだけです。

画像


ボタンを押すとダウンロードが開始されインストールされます。その後 Firefoxを再起動することで "RequestPolicy"が機能するようになります。

インストール直後の1回だけ「初期設定」の画面が表示されます。
画像


「初期画面」では安全とみなされる「表示サイト(オリジン)と外部サイト(送信先)のペア」をあらかじめ登録(ホワイトリストを作成)することができます。
つどつど登録することもできますが、Googleのように自社の外部サイトをたくさん利用している場合もありますので登録しておくと余計な手間が省けるでしょう。

"RequestPolicy"のその他の設定は「デフォルト」でいいと思います。
まぁ、使い始めてから徐々に設定を変えていってみてください。


では、"RequestPolicy"がどのように機能しているのか説明したいと思います。
デフォルトでは "RequestPolicy"の動作状態がフラグで表示されます。

外部サイトへのアクセスが無い場合、あるいはすべてのアクセスが許可されている場合はグレーのフラグです。
画像


外部サイトへのアクセスが一つでも禁止されている場合は赤のフラグになってます。
画像


赤いフラグをクリックすると、どの外部サイトへのアクセスが禁止されていて、どの外部サイトへのアクセスが許可されているのか判ります。
画像


アクセスの禁止または許可は外部サイトのURLをクリックすると変更できます。
一時的にアクセスを許可することもできます。
画像


画像


また、リダイレクトなどで他のサイトに移る場合には事前に設定画面が表示されます。
画像


<許可>ボタンだと「一時的」に許可することになるようです。
問題が無いリダイレクトであれば <More>ボタンから「リクエストを許可する」を選んでください。
画像



尚、Webページを右クリックして表示されるコンテキストメニューに "RequestPolicy"がありますので、こちらからも外部サイトのアクセスを許可できるようになってます。


ということで、備えあれば憂いなし、"RequestPolicy"を利用することでCSRSを防止(予防)しよりいっそう安全なWeb閲覧が楽しめるようになると思いますよ。

尚、Webサイトを開いたときになにか表示がおかしくなったら、まずは "RequestPolicy"のフラグをクリックして必要なのにアクセスが禁止されているサイトがないか確認なさってください。


[2012/10/24 追記]
なんと! 嬉しい副作用がありました。
"RequestPolicy"をインストールすると鬱陶しく表示される広告が減りました。
なるほど、広告表示用の外部アクセスがブロックされているんですね。
いままでは広告が表示されてから adblock plusstylish で広告をブロックしてきましたが、これからは基本的に外部サイトの広告は表示されなくなり、内部広告だけをブロックすればいいことになります。(^_^y


[2012/10/28 追記]
もう一つ、嬉しい副作用がありました。
"RequestPolicy"では広告はもちろんのこと、外部サイトによる各種トラッキングもブロックされます。
なので shinobi.jpとか google-analytics.comなどメジャーなトラッキングはもちろん、全然知らないマイナーなトラッキングもブロックされてました。(^_^y


テーマ

関連テーマ 一覧


月別リンク

ブログ気持玉

クリックして気持ちを伝えよう!
ログインしてクリックすれば、自分のブログへのリンクが付きます。
→ログインへ
気持玉数 : 1
なるほど(納得、参考になった、ヘー)

トラックバック(0件)

タイトル (本文) ブログ名/日時

トラックバック用URL help


自分のブログにトラックバック記事作成(会員用) help

タイトル
本 文

コメント(0件)

内 容 ニックネーム/日時

コメントする help

ニックネーム
本 文
Firefox : 拡張機能 "RequestPolicy"で CSRFを防ぐ バッキーの日々是爆食/BIGLOBEウェブリブログ
文字サイズ:       閉じる