グーグル、「DOM Snitch」をリリース--危険なサイトを検出

　Googleは米国時間6月21日、ブラウザ内で実行すると危険なウェブサイトソフトウェアについて警告を発する「DOM Snitch」というオープンソースツールをリリースした。

　同ソフトウェアはウェブサイトコードの実行方法を調べて、コマンドの実行がウェブブラウザ経由でマルウェアをコンピュータに配布するクロスサイトスクリプティングのような攻撃につながるかどうかを確認する、実験的な「Google Chrome」拡張だ。

　GoogleのセキュリティテストエンジニアであるRadoslav Vasilev氏はブログ投稿で、DOM Snitchを利用することにより「開発者やテスターはクライアント側のコードによく見られる、危険な慣行を特定できるようになる」と述べた。同氏は次のように説明している。

　われわれはこれを可能にするため、（例えば）document.writeやHTMLElement.innerHTMLのような重要で危険の伴う可能性のあるブラウザインフラストラクチャへのJavaScript呼び出しをインターセプトする、複数のアプローチを採用した。いったんJavaScript呼び出しがインターセプトされると、DOM Snitchは文書のURLと完全なスタックトレースを記録する。こうした情報は、インターセプトされた呼び出しがクロスサイトスクリプティングや混合内容、DOMアクセスに関する同一生成元ポリシーへの危険な修正など、クライアント側の問題につながるかどうかを評価するのに役立つ。

　今回の動きは、このところGoogleがウェブ上のセキュリティを向上させるために行っている多くの施策の一環だ。Googleはウェブについて、将来のプログラミングプラットフォームであり、同社自身の事業において極めて重大な役割を担っていると考えている。同社はChrome自体のセキュリティ向上にも懸命に取り組んでいる。

　Googleのほかのオープンソースセキュリティ製品には、ウェブアプリケーションのセキュリティをテストできる「Skipfish」や「Ratproxy」などがある。