Twitter の XSS 脆弱性とか
web ページであればどこにあってもおかしくないですし、何時のタイミングでできてもおかしくないのですが……そうですか、Twitter にもありましたか。
繰り返しになりますが、この手の問題は、本当にどこにでもありえます。今、大丈夫でも、将来のバージョンアップでできないとも限りません。ですから、
- ブラウザは必ずアップデートする
- javascript を OFF にする
- プラグイン(flash/java/acrobat など全て)を OFF にする
- セッション外の cookie は受け入れない
- 全てのキャッシュを終了時にクリアする
これを徹底しましょう。
この設定、普通のブラウジングにはとても不便です。ですから、
- ブックマークを管理し、巡回するための本当の意味での「愛用ブラウザ」
- キャッシュクリア設定だけ施し、javascript やプラグインは動くようにした「チョイ見ブラウザ」
- デフォルトブラウザに登録し、ブラウジングをするための「検疫ブラウザ」
を分け、最後のブラウザの設定を上記不便設定にしておきましょう。これでも信用していたページにスクリプトが埋め込まれていた場合には対処できませんが、可能性はグッと減るはずです。
デフォルトブラウザの設定を不便な検疫ブラウザにしておくのは、うっかり何かのリンクを踏んだ時のための備えです。これは怠らないようにしましょう。
各種ブラウザのページは以下*1
- Google Chrome ウェブブラウザ
- http://mozilla.jp/firefox/
- Opera Browser | Faster, Safer, Smarter Web Browser | Opera
- Safari - Apple(日本)
Mac を使っている場合、デフォルトブラウザの変更は Safari の環境設定から行います。
http://docs.info.apple.com/jarticle.html?artnum=25566
各種無効化ですが、設定・環境設定(Chrome は「高度な設定」の「コンテンツの設定」)から無効化でき、
項目 | Chrome | Firefox | Opera | Safari |
---|---|---|---|---|
javascript | 「javascript」 | 「コンテンツ」 | 「詳細設定」の「コンテンツ」項 | 「セキュリティ」 |
プラグイン | 「プラグイン」 | *2 | 「詳細設定」の「コンテンツ」項 | 「セキュリティ」 |
cookie | 「cookie」 | 「プライバシー」 | 「詳細設定」の「cookie」項 | 「セキュリティ」*3 |
履歴 | *4 | 「プライバシー」 | 「詳細設定」の「cookie」項と「履歴」項 | 「一般」 |
でそれぞれ設定する事になります。IE の古いバージョンは OS と結びついていて何か起きた時大変危険なので、そもそも検疫ブラウザとして不適当です。
Opera の場合は「クイック設定」から都度簡単に調整できるため、検疫ブラウザとしては比較的扱いやすい部類になります。
Firefox の場合はアドオンで色々と調整した方が、検疫ブラウザとしては便利な部類になれます。
個人的にはどちらかを検疫ブラウザ(&デフォルトブラウザ)としておく事をオススメしますが、Firefox のアドオンはちょっと敷居が高いかもしれませんので、PC が苦手な人はデフォルトブラウザを Opera、履歴削除だけ設定したチョイ見ブラウザを Firefox とすると良いように思います。