Webブラウザにおけるセキュリティの基礎:入門編

ウェブブラウザーのセキュリティをご紹介!ネットを使用している皆さん、ご自身のブラウザのセキュリティ対策やプライバシー設定は万全ですか?

こんにちは!Takaakiです。 今回より複数回に渡り、ウェブブラウザーのセキュリティーに関してご紹介します!今まさにこのオンライン記事をご覧になっている皆さん、ご自身のブラウザーのセキュリティー対策やプライバシー設定は、どのようになっていますか? (みなさんのセキュリティー&プライバシー保護対策方法についてのコメント、お待ちしております!)

日本語訳(ありがとうございます!) NEARJPさん Snowofmarchさん


この一連のブログ記事は、オンラインプライバシーとセキュリティの最も重要な側面について焦点を当ててご紹介していくシリーズとして、皆さんへお届けします。

多くの方々は「まずいことをしていなければ、隠す必要はないだろう」と考えがちです。

しかし実際のところは誰しも、自分の家族から、広告プロファイルを作るために情報収集する広告主から、ネットワーク越しの情報収集プログラムから、自分自身に関して秘密にしたいことがあるものです。

セキュリティとプライバシーの概念は混同しやすく、境界線もはっきりしたものではなく、ぼやけてしまいがちです。

基本的な考え方は・・・

  • セキュリティ:悪意のあるウェブサイトやリモートの攻撃者からあなたを保護すること。
  • プライバシー:コンピュータやネットワーク上の他の信頼できるユーザーから、あなたの個人情報を保護すること

です。

今後数週間は、オンラインプライバシーとセキュリティの最も重要な側面について見ていきましょう。

安全な接続とブラウザー

ウェブサイトを閲覧するとき、あなたのブラウザーは誰かが運営しているサイトからコンテンツを読み込むように働きかけます。(この接続は、信頼できる場合とできない場合があります。)

この時ブラウザーは、あなたのコンピュータにWEBサイトのコンテンツをダウンロードし、信頼できるコードまたは信頼できないコードを実行します。このプロセスは、あなた自身やあなたのコンピュータを不必要なリスクにさらすことなく、継続的に実行されなければなりません。そしてブラウザーは「どのWebサイトに接続しているのか」「何かしらデリケートな情報を明らかにするように求められているかどうか」を確認する必要があるのです。

安全な(httpsの)ウェブサイトに接続している場合、Vivaldiあるいは他のブラウザーはウェブサイトとの安全な接続を確立するために様々なプロトコルを用います。これにより、その接続に乗せて送られる情報は暗号化されているので、ブラウザー側とウェブサイト側だけが「接続上で何が送信されているか」を見ることができます。

※仮にネットワークを見ることができる誰かがいたとしても、ある一定期間内はデータを復号することはできません。

セキュリティ証明書の役割

接続と同時に、ブラウザはWebサイトから送信された証明書をチェックして、実際のドメインとの接続が確立されていることを確認し、攻撃者が「そのウェブサイトのふりをして偽装すること」をできないようにします。 攻撃者はそのウェブサイトの証明書を持っていないのです。 偽造を不可能にするため、証明書は信頼された一連の認証局によって署名されています。ユーザーはアドレス欄を確認し、ウェブサイトのドメイン(例えば「example.com」)が確かに訪問しようとしていた場所であると判断することができます。

信頼されていないコードの実行防止について

ウェブサイトを訪れたとき、Vivaldiあるいは他のブラウザーは、信頼されていないコードをコンピュータ上で実行することを許可しません。ウェブサイトがブラウザーでJavaScriptを実行する場合、これはサンドボックス内で実行されるので、コンピュータ上の他のプログラムに影響を与えることはありません。 そしてダウンロードしたプログラムをあなたが意図的に実行しない限り、ウェブサイトはマルウェアをインストールすることはできません。 ※サンドボックス:システム上に設けられた、外部のプログラムから隔離された領域のことです。

同一生成元ポリシーについて

あるウェブサイトで作成されたCookie(クッキー)は他のウェブサイトへは送られません。また、あるウェブサイトで実行されるスクリプトが他のウェブサイトとやりとりすることもできないようになっています。(厳密には、許可された制限内である場合を除きます)。このため、ウェブサイトは他のウェブサイトを予期せぬ何かに書き換えたり、他のウェブサイトがどうなっているかを監視したりすることはできません。これは同一生成元ポリシーとして知られるウェブブラウザーのもっとも根源的な概念の一つです。

Vivaldiにおけるセキュリティの向上

ほとんどのブラウザー同様、Vivaldiも既知の悪意あるウェブサイト(他のウェブサイトのふりをしてユーザー名やパスワードその他注意すべき情報を漏洩させようとするサイトや、マルウェアをダウンロードさせようとするサイト)を確認することができます。これはブラウザのセキュリティモデルに不可欠な要素であるとは考えられていないため、セキュリティ強化と呼ばれています。

ファイルをダウンロードする際、Vivaldiは攻撃を防ぐため、正確なドメインを表示しています。ダウンロード対象が実行可能ファイルである可能性があるため、Vivaldiは本当にそれを実行したいのかを確認することで、あなたに制御させます。 ※攻撃:信頼されたウェブサイトへリダイレクトさせつつ実際には悪意ある彼らのサイトからダウンロードさせることです。

可能な場合、システムの実行ファイル署名を覗き込み、信頼できない発行元からの実行ファイルのダウンロードだった場合に警告することもできます。Vivaldiは設定次第で確認なしにファイルをダウンロードすることもできますが、それでも実行ファイルは意図的に許可して操作しない限り、実行されることはありません。

このシリーズでは、これからもプライバシーとセキュリティに関する情報をお届けしていきます。 次回もご期待ください。

メイン画像は、写真サイト「Unsplash」のリカルド・ゴメス・アンジェルのものです。

著:ターキン・ジョーンズ 2005年からウェブブラウザーのセキュリティに携わり、2018年からVivaldiに勤務する。 1991年以来専門となっている洞窟探検や様々なエキゾチックなペットの世話のため、野外を探検している最中にお目に掛かることもあるかもしれません。

セキュリティー&プライバシー保護シリーズ

note | Twitter | Facebook | Instagram