三井物産セキュアディレクション セキュリティ診断なら

MBSD Security Insight

title1

セキュリティ専門家によるレポートを掲載します。



Android調査HTML5セキュリティレポートHTML5セキュリティレポートお問い合わせはコチラ

 現在、主要なWebブラウザはHTML5に対応しており、多くのWebサイトにおいてHTML5を用いたコンテンツが動作しています。GoogleやAppleをはじめとするプラットフォームリーダには高い次元で独自仕様を生み出すかといった戦略を提供することになりますが、セキュリティ維持の観点ではHTML5の市場動向を見極めつつも、スマートフォン向けのアプリの多くがHTML5で開発されたWebアプリケーションに置き換わる可能性が高いものとして開発を進めていくことが肝要となります。
 本書はHTML5のセキュリティについて、概要・脅威を幅広く捉えながら、機能については実機で検証を行い具体的なセキュリティ対策を網羅的に解説した調査レポートです。(約180ページ)

html5



【目次】

第1章 はじめに


第2章 HTML5概要

2-1.HTML5登場の背景
2-2.HTML5の機能

2-2-1.機能概要
2-2-2.利用事例紹介

2-3.HTML5活用のメリット
2-4.HTML5の普及状況

2-4-1.適用Webサイト数
2-4-2.ブラウザの対応状況

2-5.HTML5を取り巻く関係者の意識

2-5-1.仕様策定者の意識
2-5-2.ブラウザ提供者の意識
2-5-3.コンテンツプロバイダの意識
2-5-4.HTML5開発者の意識
2-5-5.通信事業者・端末メーカーの意識
2-5-6.利用者の意識


3章 HTML5に潜む脅威

3-1.HTML5のセキュリティ上の懸念

3-1-1.HTML5の仕様上の脆弱性
3-1-2.ブラウザの実装上の脆弱性
3-1-3.正常な機能の悪用

3-2.事例紹介

3-2-1.HTML5の仕様上の脆弱性
3-2-2.正常な機能の悪用


第4章 HTML5新機能とセキュリティ新機能

4-1.HTML5セキュリティ新機能

4-1-1.iframe sandbox属性
4-1-2.autocomplete属性
4-1-3.X-Frame-Optionsヘッダ
4-1-4.X-XSS-Protectionヘッダ
4-1-5.X-Content-Type-Optionsヘッダ
4-1-6.Strict-Transport-Securityヘッダ
4-1-7.CookieのHttpOnlyフラグ
4-1-8.Content Security Policy(CSP)

4-2.HTML5の機能

4-2-1.Offline Web Application
4-2-2.Drag&Drop API
4-2-3.Web Storage
4-2-4.File System API
4-2-5.Audio/Video
4-2-6.Geolocation API
4-2-7.Selector
4-2-8.Web Font
4-2-9.Canvas
4-2-10.SVG
4-2-11.WebGL
4-2-12.WebSocket
4-2-13.Server-Sent Events
4-2-14.Web Workers
4-2-15.XMLHttpRequest Level2(CORS)
4-2-16.Web Messaging
4-2-17.Custom scheme and content handlers


第5章  HTML5セキュリティ課題の分析と防衛策

5-1.HTML5のセキュリティ課題(個別機能)

5-1-1.iframe sandboxへの攻撃
5-1-2.autocompleteへの攻撃
5-1-3.X-XSS-Protectionへの攻撃
5-1-4.Drag&Drop APIへの攻撃
5-1-5.Audio/Videoへの攻撃
5-1-6.Geolocation APIへの攻撃
5-1-7.Selectorへの攻撃
5-1-8.SVGへの攻撃
5-1-9.WebGLへの攻撃
5-1-10.WebSocketへの攻撃
5-1-11.Server-Sent Eventsへの攻撃
5-1-12.Web Workersへの攻撃
5-1-13.XMLHttpRequest Level2(CORS)への攻撃
5-1-14.Web Messagingへの攻撃
5-1-15.Custom scheme and content handlersへの攻撃

5-2.XSSへの課題

5-2-1.機会の増加
5-2-2.被害の増加
5-2-3.DOM Based XSSの課題
5-2-4.文字コードの課題
5-2-5.JavaScript Hijack
5-2-6.JSON Hijack
5-2-7.WebViewのローカルURLへの課題
5-2-8.WebViewのaddJavascriptInterface
5-2-9.WebViewのキャッシュへの課題
5-2-10.JavaScriptベースアプリケーションの課題
5-2-11.WebViewの脆弱性
5-2-12.イベント属性の課題
5-2-13.URL属性の課題
5-2-14.その他注意が必要な要素・属性
5-2-15.文字実体参照の課題
5-2-16.マルチメディアデータなどへの対応への課題
5-2-17.入力値チェックの課題

5-3.フィッシング/プライバシ問題への課題

5-3-1.FullScreen APIの課題
5-3-2.Notification APIの課題
5-3-3.History APIへの課題
5-3-4.プライバシ問題への課題

5-4.コンテンツ保護

5-4-1.DRM
5-4-2.Web Cryptography API
5-4-3.処理内容の秘匿性

5-5.更なる検討事項

5-5-1.MITB
5-5-2.WebKitを利用する悪意のあるソフトウェア

5-6.DOM Based XSS
5-7.文字コード
5-8.JavaScript Hijack
5-9.JSON Hijack
5-10.WebViewのローカルURL/ addJavascriptInterface/キャッシュ
5-11.HTMLデータの処理
5-12.マルチメディアデータ
5-13.XSS(被害低減の為の保険的対策)


第6章 おわりに



HTML5セキュリティレポートお問い合わせはコチラ

space

ページトップにページトップへ


company_side space

所在地

本店:

〒103-0013
東京都中央区日本橋人形町
1丁目14番8号 TT-1ビル6階
地図はコチラMapはコチラ

TEL : 03-5649-1961(代表)


赤坂オフィス:

〒107-0052
東京都港区赤坂2丁目17番7号
赤坂溜池タワー9階
地図はコチラMapはコチラ

TEL : 03-5575-2171

三井物産セキュアディレクション株式会社

MBSDロゴ

サイトマップ