ITエンジニア/デザイナ向けにオープンソースを毎日紹介

ブラウザが多用されるようになり、ローカルのアプリケーションだけだった時代では想定されなかったセキュリティリスクが出てきている。そして、それらの問題に対応するべく様々な情報がインターネット上に掲載されている。


ピクチャ 163.png

レポート

 

だが一般ユーザはもちろん、ITに詳しい人であっても、それらの情報を活用しているとは言い難い。情報を元に、どのような施策を行うか、それが重要だ。

今回紹介するオープンソース・ソフトウェアはRatproxy、グーグラーが開発したWebアプリケーションセキュリティ査定ソフトウェアだ。

Ratproxyはいわゆるプロキシとして動作するソフトウェアだ。デフォルトで8080を使って立ち上がる。後はブラウザのプロキシを設定して、様々なサイトを閲覧すれば良い。結果はログファイルに吐き出され(ファイル名を予めしておく必要がある)、その結果を解析してレポートを作成してくれる。


ピクチャ 162.png

実行中

 

検査する項目としては、JavaScriptを動的に読み込み、または評価している部分があるか、文字コードが設定されていないファイルの読み込み(IEのUTF-7解釈での問題が起きる可能性があるとのこと)、MIMEタイプが一致しない画像があるかどうか、同様にテキストでMIMEタイプが正しく設定されていないもの、text/plainで設定されているもの、クッキーをXSRF対策していない部分があるか、怪しいパラメタの受け渡しがあるか、JavaScriptでダイナミックにHTMLを書き換えているかどうかとなっている。

ちなみに日本での最大手、Yahoo! Japanであってもブラウジングすると様々な問題点が指摘される(さらに言えばGoogleでも指摘される)。レベルも様々で、一概に出たら全て問題があるという訳ではなさそうだ。

だがユーザに安心感を与える、快適なブラウジング環境を考える上でセキュリティ面での対策は必須になる。Ratproxyを使って自サイトにどういったリスクが内在しているか、チェックしてみると良さそうだ。

 

ratproxy - Google Code

 http://code.google.com/p/ratproxy/

 

MOONGIFTの関連記事

コメント

  • DevRel
  • Com2