Googleは内部セキュリティツールの1つである「ratproxy」(リンク)のオープンソースリリースを発表した(リンク)。Ratproxyは、Webアプリケーションセキュリティを受動的に査定するために使用される。
プロキシはクロスサイトスクリプトの取り込みの脅威、偽クロスサイト要求の不十分な防御、キャッシングの問題、クロスサイトスクリプトの候補、潜在的に危険なクロスドメインコードの取り込み計画および情報の漏洩シナリオなどの問題を分析する。
受動的なツールとして、ratproxyはブラウザおよびWebアプリケーション間の対話をモニターする。その文書(リンク)によると、これまでの方法よりも優れた点を提供する。
- 途絶の危険性がない
- 少しの作業で、多くの収穫
- 人的交流の保管制御
- スクリプトの振る舞いのWYSIWYGデータ
- プロセスの容易な統合
ratproxyを他のセキュリティ監査ツール(WebScarab(リンク)、Paros(リンク)、Burp(リンク、ProxMon(リンク)およびPantera(リンク)など)と比較し、作成者であるMichal Zalewski氏(リンク)は以下のように提案している。
具体的には、現代のWeb 2.0アプリケーションと明確な関連のある優先問題に焦点を当てた簡潔なレポートを提供したり、それを自動で、反復可能な方法でおこなうように意図されて いる。ロウHTTPトラフィックダンプで圧倒せず、フレームワークを単に提供することに留まらず、手動によるアプリケーションの変更をする。
Ratproxy(1.50 beta)(164 Kb)(DL)がLinux、FreeBSD、MacOS XおよびWindows(Cygwin)環境で利用可能である。