MicrosoftのウェブブラウザベースOS：Gazelle

作者 Jonathan Allen , 翻訳者 南 伸二 投稿日 2009年7月14日

セクション

運用/インフラ,

デベロップメント

トピック

Architecture ,

OS ,

.NET

タグ

Browsers

原文(投稿日：2009/7/9)へのリンク

Googleだけがウェブブラウザをベースにしたセキュアなオペレーティングシステムをつくろうと考えている企業だというわけではない。去る2月、Microsoftの研究がGazelleについての詳細を明らかにした。「Gazelleは、セキュアなウェブブラウザのマルチプリンシパルなOS構造である。Gazelleのブラウザカーネルがそれだけでプリンシパル間の保護機能と、すべてのシステムリソースの公平な共有機能を提供する」と主張する。

Chrome OSがLinuxの上に構築されているように、Gazelleも実際には新しいオペレーティングシステムではない。むしろ、ブラウザのセキュリティモデルをオペレーティングシステムレベルまでに落とし込む拡張レイヤである。システムの鍵となるのはプリンシパルというアイデアであり、ここではプロトコル、ドメイン名、ポートという3つのものの組み合わせである。それぞれの組み合わせは他の組み合わせとプロセスレベルで独立している。

クロスサイトスクリプティング攻撃のような問題から保護するため、ページはある1つのプリンシパルからのコンテンツしか直接にはレンダリングしない。他のプリンシパルからのコンテンツはそのプリンシパルのために特別につくられたもう一つのプロセスに任される。プリンシパル間の通信は「ブラウザカーネル」を通じて行われる。ブラウザカーネルはC#で記述されたプロセス間通信を容易にする制限されたOSのプロセスである。XMLベースのメッセージがブラウザカーネルと様々なプロセスとの間を名前付きパイプを通じて送られる。各プロセスがレンダリングを完了すると、ブラウザカーネルがその結果をブラウザで描画する最終イメージとして構築する。

Gazelleはプラグイン、HTTP/HTTPSの混合、“再帰マッシュアップ攻撃”といったブラウザの脆弱性を対象とした数多くの特徴を持っている。

プラグイン。Gazelleはプラグインのコンテンツに同一生成元ポリシー（same-origin policy）を強制します。すなわち、プラグインコンテンツはその生成元のプリンシパルとして、（そして、そのホストページのプリンシパルとしてではなく、）実行されます。プラグインは脆弱性が大きくひろがるもとですから、ブラウザカーネルにおいてプラグインのポリシーを強制することは、エクスプロイトによる被害を抑えるのに非常に重要なことです。既存のプラグインソフトウェアはこのことを実現するためブラウザカーネルシステムコールを利用するように変更されなければ（移植されるか、またはバイナリを書き換えなければ）なりません。Alexaのトップ100サイトのうちの34のサイトがFlashプラグインを使用しており、他の種類のプラグインは使われていません。このことから、Flashだけを移植したり変更したりすることによって、プラグイン互換性問題のかなりの部分に対処できることがわかります。

HTTPSがHTTPスクリプトやCSSを含むこと。GazelleではHTTPSプリンシパルにはHTTPスクリプトやCSSコンテンツを含めることはできません。他のタイプのコンテンツ、例えば画像やプラグインなどは、ホストプリンシパルに所属するプロセス内で実行することになります。このポリシーはGazelleでは容易に変更可能です。しかしながら、HTTPSコンテンツがHTTPスクリプトやCSSを含むことを避けることで、Gazelleはネットワークを攻撃する者に対するより強いセキュリティを実施することになります。Alexaのトップ100サイトはSSLを使用していないので、私たちはSSLセッションをウェブアプリケーションの一部に提供する数少ないサイトを区別することにしました。それは、amazon.com、mail.google.com、mail.microsoft.com、blogger.comといったサイトや、トップ100に含まれない数少ない人気のある銀行のサイトなどです。これらのサイトは私たちのポリシーに違反していません。

厳密な子のみのナビゲーション。家主としてのフレームは、テナントの中でのナビゲーションを引き起こすことだけしかできず、テナントや他のプリンシパルに所属するフレームに対しては制御することができません。直接の子ども以外の子孫をナビゲートしようとするサイトはGazelleの中ではそれができないようになっています。ナビゲーションのスコープを制限することで、Gazelleは悪意のあるウェブページが素性のよいウェブアプリケーションの中のフレームをナビゲートすることができないようにします。このようなタイプの攻撃は以前にBarth氏らによって分析されて“再帰マッシュアップ攻撃”と表現されています。私たちの互換性テストフレームワークでは、サイトがこのポリシーに違反しているかどうかを自動的にテストすることはできませんでした。

このレベルの保護を実現することは安上がりではない。nytime.comのような複雑なページのレンダリング時間は、生成元が複数あるようなフレームが関係するとき、2倍になることがある。しかし、ブラウザカーネルのイメージ構築部に対してさらなる作業を行うことで、この時間の多くは最小化することができるだろう。

Microsoftリサーチのウェブサイトでは完全な研究論文を読むことができ、Google Chromeといった既存のブラウザとの比較も見ることができる。

• 次へ >