IE 8では、クロスサイトスクリプティングのような攻撃からユーザーを保護する防御メカニズムが用意されているとWood氏は言う。
Googleもクロスサイトスクリプティングに対する防御機能を評価中だが、「標準に準拠しており、サイトを壊すものでないことを十分に確認しなければならない」とFette氏は述べている。
IEでは、ユーザーがJavaScriptを無効にすることもできる。ChromeではJavaScriptを無効にはできないが、サンドボックス化される。
「JavaScriptをオフにすると、銀行のサイトでナビゲーションがオフになってしまう」か、サイトが使えなくなってしまう可能性があるため、「現実的なオプションではないと考え、オフにする機能は提供していない」とFette氏は述べている。
そのほかに悪用の標的になりやすい「Adobe Flash」と「Adobe Reader」は、Chromeではサンドボックス化されていない。サンドボックス化すると自動更新やそのほかの機能で問題が発生したためだとFette氏は言う。「サンドボックスは万能薬ではない」(Fette氏)
WhiteHat Securityの最高技術責任者(CTO)であり共同創業者であるJeremiah Grossman氏は、安全性を最大限に高めるために2つのブラウザを使用することを提案している。これは、「気ままなウェブサーフィン」にはChromeを、電子メールのチェックやオンラインバンキングなどの重要な作業にはNoScriptプラグインを導入したFirefoxを使用する、というものだ。
この提案に対するコメントをFette氏に求めたところ、Chromeのタブはそれぞれ別々のプロセスであるため、2つのブラウザを使用する場合と同等の保護が得られると同氏は回答した。
Wood氏は最後に、Chromeはパスワード管理機能を強化すべきだと指摘する。ほかにこの点でより優れたブラウザはないが、Googleが全体の水準を引き上げるべきだと同氏は言う。
「パスワード管理には本当の意味でのセキュリティは存在していない。すべてのパスワードをクリアテキストで開いて見ることができてしまう。ブラウザには優れたパスワード管理機能が必要だ。人々はインターネット上のすべてのサイトのすべてのパスワードを覚えることはできない」(Wood氏)
これに対しFette氏は、コンピュータへアクセスできる人であればそれだけで、例えばユーザーがキーボードで入力する文字を監視するキーロガーをインストールするなど、大きな損害を与える行為を実行できるとしている。
「Chromeが登場して、FirefoxとIEの競争心に火を付けた。Chromeは多くの技術革新を後押しし、その多くはセキュリティと全般的な使いやすさに関するものだった。われわれはよりセキュリティを強化したブラウザの時代へと移行しようとしている。その多くが、ウェブ上に存在する脅威について人々に理解してもらうことと関係している」(Wood氏)
この記事は海外CBS Interactive発の記事をシーネットネットワークスジャパン編集部が日本向けに編集したものです。原文へ
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
住環境に求められる「安心、安全、快適」
を可視化するための“ものさし”とは?
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」