安全にInternet(ブラウザ)を利用する為のTips

Security 12月 29, 2007
(Last Updated On: )

文字エンコーディングの自動認識を無効化する

文字エンコーディングの自動認識機能はスクリプトインジェクションに利用される場合があります。このため本来は文字エンコーディングの自動認識機能は無効にされているべきです。

ページの文字エンコーディングは本来HTTPヘッダで指定されるべきです。RFCではHTTP 1.0との互換性を保つためHTTPヘッダで文字エンコーディングが指定していないときはクライアントの判断で文字エンコーディングを決めてよい事になっています。今時はほとんどのサイトがHTTP 1.1対応サイトです。

自動認識を無効化していると、まれに設定ミスで文字化けするサイトがあります。しかし、文字化けするようなサイトにはアクセスしないほうが安全です。

もし自分が使っているサイトの一部の文字列が文字化けしている場合、文字エンコーディングを明示的に指定して文字化けを解除しようとしてはなりません。文字エンコーディングを変えてアクセスすると、意図しないスクリプトが実行される場合があります。

Firefoxの場合、表示>自動判別>解除、で文字エンコーディングの自動認識を解除できます。

インターネットからダウンロードしたり、出所が不明なドキュメントは開かない

インターネットをブラウズしているとワープロや表計算アプリのファイルがダウンロードできるようになっている場合も少なくありません。

これらのファイルを開くアプリケーションを最新バージョンで使っていても安全とは言えません。特にオフィス系(ワープロ、表計算など)のアプリケーションには頻繁に脆弱性が発見されます。プログラムでないデータファイルを開くだけで不正なコードやコマンドを実行される場合があります。しかも、この手の脆弱性は修正パッチが公開される前に脆弱性の詳細が公開されてしまう事も多いです。

ワープロ、表計算、プレゼンテーション、PDFファイル、圧縮ファイル、画像、映像、音声ファイル等のデータファイルであっても出所が不明なドキュメント、信頼できないドキュメントは開かない方が安全です。

投稿者: yohgaki