最新のブラウザで 新規に追加・改良されたセキュリティ機能について


こんにちは。Internet Explorer サポートの遠藤です。

 

2014 年の 8 7 日に発表いたしました Internet Explorer のサポート ポリシー変更が 明日 1 13 日に予定されています。

 

今回は最新のブラウザで 新規に追加・改良されたセキュリティ機能についてご紹介いたします。

最新のブラウザである Internet Explorer 11 では、拡張保護モードやオートコンプリート機能などのセキュリティ機能が強化されています。また、トランスポート層セキュリティ (TLS) 1.2 が既定で有効になっています。

 

拡張保護モード  について

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

拡張保護モードは、IE 8 で取り入れられた "保護モード" を拡張した機能です。

この機能を有効とすることで、IE はブラウザが通常使う必要のないシステム リソースへのアクセスが制限され、例えば悪意のあるコードが実行されてしまった場合でも、ソフトウェアのインストールやシステムの設定変更を防ぐことができます。

 

具体的には、拡張保護モードが有効な IE では、下記資料に記載の[インターネットとパブリック ネットワーク][位置情報]、および [共有ユーザー証明書] についてのみ、アクセス可能となるよう制限されています。

 

          アプリ機能の宣言 (Windows ストア アプリ)

          http://msdn.microsoft.com/ja-jp/library/windows/apps/hh464936

 

また、ファイルやレジストリについては、"ALL APPLICATION PACKAGES"  グループがアクセス可能なリソースのみ使用可能となるよう制限されています。アプリケーションの動作に必要な "C:\Program Files" "C:\Windows" フォルダ配下、HKEY_CLASSES_ROOT IE 関連のレジストリ キーのリソースについては、概ね既定で "ALL APPLICATION PACKAGES" がアクセス可能です。しかし、"C:\Users" フォルダ配下や HKEY_CURRENT_USER レジストリ キーについては、個人情報保護の観点からアクセスができません。

 

拡張保護モードについては以下のブログ記事も併せてご参考ください。

 

       IEBlog 日本語 - 拡張保護モード

       http://blogs.msdn.com/b/ie_ja/archive/2012/03/21/enhanced-protected-mode.aspx

 

 

オートコンプリート機能 について

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

IE 11 では、オートコンプリート機能が強化されています。

より複雑なパスワードを設定しての利用を進めるため、オートコンプリート機能を強化し様々なコンテンツで機能するようにしました。

 

バージョン 10 までの IE において、[インターネット オプション] - [コンテンツ] タブ - [オートコンプリート] - [フォームのユーザ名およびパスワード] が有効となる条件は、以下でした。

 

          - フォーム内の入力項目が INPUT TYPE=TEXT INPUT TYPE=PASSWORD 2 項目のみである。

          -  INPUT要素のTYPE属性にSUBMITを指定してフォームをサブミットする。(onclick イベント時にスクリプトでサブミットしても有効になりません。)

 

IE 11では、ログイン フォーム 検出機能 が強化され、より多くのシナリオでご利用いただけるようになりました。これにより、[オートコンプリートのパスワードを保存しますか? ] のプロンプトが表示される対象範囲が以前よりも広くなっています。

 

本機能強化につきましては、IEエンジニアリングチームのブログ情報となりますが、以下サイトで情報を公開しています。

 

          IE11 のパスワード

          http://blogs.msdn.com/b/ie_ja/archive/2014/07/01/passwords-in-ie11.aspx

 

 

トランスポート層セキュリティ (TLS) 1.2 について

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

IE 11では、トランスポート層セキュリティ (TLS) 1.2が規定で有効です。

 

TLS1.2 は旧バージョンの IE でも利用することが可能ですが、旧バージョンでのみ発生する問題も報告されています。

例えば、IE 8 では TLS1.1/1.2 を使用した暗号化でCBCモード使用した通信において Empty Fragmentsというテクニックを使用した場合に適切に応答を解釈できない問題が発生します。

Empty Fragments は、以下の JVNDB-2011-002305 で説明されている CBC モードの脆弱性に対する予防策の 1 つですが、CBC モードの脆弱性は 全バージョンの IE で対策済みです。

 

 

          JVNDB-2011-002305

          SSL TLS CBC モードに選択平文攻撃の脆弱性

          http://jvndb.jvn.jp/ja/contents/2011/JVNDB-2011-002305.html

 

なお、Windows Server 上の Internet Information Service (IIS) をご使用の場合は、Empty Fragments を送信いたしません。


Comments (0)

Skip to main content