Mozilla、次期ブラウザ『Firefox 3』で XSS 攻撃に対応

Web 2.0 は、多くの Web サイトにとってユーザーを引きつけるのに役立っている。だがそれにより、クロスサイト スクリプティング (XSS) という攻撃手法も広まってしまった。

Mozilla Foundation は、次期 Web ブラウザ『Firefox 3』で XSS 攻撃に引導を渡そうとしている。今月初めに公開した第7アルファ版は、XSS 攻撃を招く原因になることが多い『XMLHttpRequest』(XHR) の安全性向上を意図した W3C の新しいワーキングドラフト仕様に対応している。XHR は、リモートデータを用いてより動的な Web 体験を実現する Web 2.0 の重要な要素だ。

Mozilla のエンジニアリング担当副社長 Mike Schroepfer 氏は、取材に対し次のように語った。「クロスサイトの XMLHttpRequest で、Web 開発者は、より容易かつ安全にマッシュアップを作成できるようになる。これは、われわれが Firefox 3 に実装しようとしているもので、世界中に広まるのを期待している多くの先進 Web 標準の1つだ」

第7アルファ版は、新たに XSS 問題に対応しただけでなく、7月初頭に公開した第6アルファ版に見つかったバグや実装エラーの修正もいくつか行なっている。

第7アルファ版では、バグ修正と新機能への対応以外に、古いコードの切り捨ても行なった。リリースノートによると、Web サービス用メッセージ プロトコル『SOAP』の実装コードを削除したという。

Schroepfer 氏は次のように説明した。「Firefox 3 から削除した SOAP 実装コードは、拡張機能の開発者のみが利用可能なものだった。拡張機能の開発者には、より新しい実装の選択肢が数多くある。われわれは基本的に、セキュリティを改善したり、ダウンロードサイズを抑制したり、Web 開発者や拡張機能開発者に最新のサポートライブラリを利用してもらうといった目的で、コアとなるブラウザから古いコードをできるだけ排除しようとしている」