Gmailのような人気サービスは、必然的にハッカーの標的になる。数年来Googleは、他者のアクセスを防ぐためにHTTPS接続を必須にするなど、数多くのセキュリティー対策を施してきた。今日(米国時間12/16)同社は、クロスサイトスクリプティング攻撃や悪意あるブラウザープラグインによってユーザーの受信箱が荒らされ、データを盗まれることを防ぐために、コンテンツセキュリティーポリシー(CSP)をサポートしたことを発表した。
Googleが実装したコンテンツセキュリティーポリシーは、ブラックリスト/ホワイトリストを使ってサイトが他サイトから不正なコードを読み込むことを防ぎ、クロスサイトスクリプティング攻撃を阻止する。HTTPヘッダーを利用して、信用できるサイトのコードのみを処理するようブラウザーに指示を与える。もしアタッカーがサイトを騙して別のコードを読み込ませようとすれば、エラーになるだけだ。
Googleによると、大部分のGmail用拡張機能はすでに対応済みのため、そのまま使えるはずだ。もし、ChromeやFirefoxでお気に入りの拡張機能が動かなくなった時は、最新バージョンにアップデートするようGoogleは薦めている。
現在Chrome、Forefox、およびSafariがCSPをサポートしている。MicrosoftのInternet Explorerは、CSPの旧バージョンを限定的にのみサポートしている。
[原文へ]
(翻訳:Nob Takahashi / facebook)