InfoQ

News

AntiSamy 1.0がリリース - Webアプリケーションを有害なHTMLとCSSから防御

作者 Gavin Terrill, 翻訳者 編集部 投稿日 2007年12月6日 午後12時28分

コミュニティ
.NET,
Java,
Architecture
トピック
セキュリティ

自分達のユーザがHTMLとCSSを含むコンテンツを提示するのを可能にしたいと願うデベロッパ達は、Cross Site Scripting(XSS)という重要なセキュリティ問題を抱えている。"AntiSamy"(サイト・英語) プロジェクトとして知られる新たなOWASPにおけるプロジェクトは、総括的でポリシー駆動の、フィルタープロセスにおいてユーザフィードバックを提供するのと共に入力を検証し、また安全なAPIを作るのを目標としている。そのプロジェクトのサイト(サイト・英語)はそのAPIを下記のように解説している。

技術的にそれはユーザが供給したHTML/CSSがアプリケーションルール内において準拠していることを確実にするAPIです。言い換えると、それはクライアントがプロファイル、コメント等で供給するHTML内に、サーバ上で持続する有害コードを出さないよう確かめるのを補助するAPIなのです。Webアプリケーションの観点において、有害なコードという用語は通常JavaScriptとしてのみ見なされます。カスケーディングスタイルシート(CSS)はそれがJavaScriptエンジンを呼び出す時にのみ有害であると考えられます。しかしながら、”普通”のHTMLとCSSが悪意をもって使用される場合がたくさんあるのです。

このAPIを分け隔てるものは、Arshan Dabirshiaghi氏によると、そのユーザフレンドリーなアプローチであるという。

AntiSammyの方法論は、それがHTMLドキュメントとドキュメント内でのコンテンツ両方のフォーマットにおいて良好なセキュリティモデルの上に成り立っているという点でユニークなのです。また、それは現代のセキュリティメカニズムのようにユーザをアタッカーとして見なす方法ではなく、ユーザ達が検証に合格するよう彼らのインプットを調整するのを補助するという点でユニークなのです。

そのペーパー”有害なコード発見と除去”(PDF・英語)の中で、Dabirshiaghi氏はフィルタープロセスに関わっている段階を解説している。

  1. プリプロセッシング。HTMLクレンジングを行うためのNekoHTML(サイト・英語)の使用
  2. プロセッシング。Tag/CSS検証ルールに3つのプロセスモードを使用して深みを与えられている。フィルター、切り詰め、そして検証である。フィルターのアクションは許可されていないタグを除去するのだが、コンテンツを保持する。切り詰めは禁止されているタグの属性とチャイルドノードを除去する。検証は有効なタグのみが認証されることを確実にし、タグ・属性コンビネーションでポリシーファイル内でルールのマッチングを行う。
  3. リメディエーション。もし検証がプロセス中に失敗したらポリシーファイルはタグとそのコンテンツにどのように対応するのかを決定するようコンサルティングを受けている。オプションにはタグとそのコンテンツの除去が含まれており、タグをフィルタしてコンテンツを残し、またタグから属性を除去する。

AntiSamyを含む最初のリリースにはもうすぐ入手可能になる。.NetとPHPを伴うJava実装が含まれている。

Javaアプリケーションへの統合は至ってシンプルである。

import org.owasp.validator.html.*;

Policy policy = new Policy(POLICY_FILE_LOCATION);
AntiSamy as = new AntiSamy();
CleanResults cr = as.scan(dirtyInput, policy);
MyUserDAO.storeUserProfile(cr.getCleanHTML()); // some custom function

CleanResultsクラスはフィルタープロセスについての実用的な情報にアクセスするためのメソッドを提供する。

  • getErrorMessages() - Stringエラーメッセージのリスト
  • getCleanHTML() - 清潔で安全なHTML出力
  • getCleanXMLDocumentFragment() - 反映される清潔で安全なXMLDocumentFragment
  • getCleanHTML()
  • getScanTime() - スキャンタイムを数秒内に返還する

BSDスタイルの下でライセンスされているAntiSamyのダウンロードは、グーグルコードプロジェクトページ(サイト・英語)から行うことができる。

原文はこちらです:http://www.infoq.com/news/2007/12/antisamy

ブックマーク
digg+,
reddit+,
del.icio.us+,
dzone+,
Hatena

関連情報

セキュアなIT基盤と付帯運用サービス”SecureOnline”

InfoQ Japan 運営スタッフ募集

日立ソフトの情報漏洩防止ソリューション「秘文」

InfoQ Japanはコンポーネントスクエアが運営しています

No comments

返信

ジャンル別一覧

BlazeDSとAMFでWebとデスクトップのアプリケーションを構築する

現在のRIAアーキテクチャにおいて、クライアント/サーバーの通信は重要な位置を占めています。本稿では、James WardとShashank TiwariがアドビによるオープンソースのBlazeDSメッセージングサーバーの世界へ飛び込みます。

  • Java,
  •  2008年6月24日 午後12時47分,
  •  

業務ソフトに手を加えずに暗号化を実現する~秘文の挑戦~

hibun

ウィルス対策ソフトや情報漏えい防止用のソフトは、いわば影の存在です。ユーザの操作性やGUIを工夫する以上に、いかに目立たない存在となるかにその技術を注ぎ込んでいます。ここでは日立ソフトが開発した「秘文」の事例を紹介します。

Google Chartとgchartrbの紹介

Google Chartは、チャートを作成するためのWebサービスです。本稿では、Google Chartのインターフェースと、Rubyコードから簡単にチャートを生成することができるgchartrbライブラリの説明をします。

  • Ruby,
  •  2008年6月17日 午後11時23分,
  •  

SOAを超えて: 動的な業務アプリケーションのための新しいエンタープライズアーキテクチャフレームワーク

全二回からなるこの記事では、ダイナミックビジネスアプリケーション(Dynamic Business Applications:DBAs)の開発についての全体的な眺望を、アーキテクチャと方法論の観点から見ていくことになります。我々のゴールは、「ビジネスの変化や、その他に必要とされる変更に対して、いかにして容易に適応できるアプリケーションを構築していくか」を導きだすことです。

ESB接続形態のオルタナティブ

本稿では、Adrien Louis氏がESBベースのSOAに対する2つの接続形態についての賛否について説明しています。その2つとは、会社での単一のESB対「部門毎」に相互接続するESBによるシステムです。

  • SOA,
  •  2008年6月16日 午前1時40分,
  •  

AjaxプログラマのためのJavaOne2008 -GrizzlyでComet!-

誕生から2年を経てCometは「何が出来るのか」という議論から、「いかに実現するか」という議論に関心が移ってきたように見えます。そこで本稿では同じくJavaOneで数多く取り上げられたNetBeans 6.1とGlassFish v3を使いながら、サンプルを交えてCometを解説していく事にします。

  • Java,
  •  2008年6月13日 午前12時21分,
  •  

SharePoint Webサービスを始めましょう

この記事では、WSS3とMOSS 2007に難しい設定など一切せず、すぐに利用可能なWebサービスと、Javaと.NETからそのWebサービスを消費する方法に目を向けます。

  • .NET,
  •  2008年6月5日 午前4時36分,
  •  

レトロスペクティブのプライムディレクティブに対する問い

この記事の始まりは、知的で思慮深い人たちの魅力的なグループが食事会を終えて話をしているところです。話はレトロスペクティブ(振り返り)プロセスの要であるプライムディレクティブ(最初の指示)に及んでいます。

  • Agile,
  •  2008年6月5日 午前3時47分,
  •