ユーザーが作成したコードをブラウザ上で安全に実行できる Plugin システムへのアプローチ

3ZVTFJ4BKJLJ!TBKJLJY Ϣʔβʔ͕࡞੒ͨ͠ίʔυΛϒϥ΢β্Ͱ҆શʹ࣮ߦͰ͖Δ 1MVHJOγεςϜ΁ͷΞϓϩʔν #VSJ,BJHJ

4BKJ3ZVTFJ4BKJLJ 'SPOUFOE%FWFMPQFSBU$ZCP[V JOD 𝕏 !TBKJLJY

͜ͷτʔΫͰ࿩͢͜ͱ ʮ1MVHJOγεςϜʯͷೝࣝ߹Θͤ 1MVHJOγεςϜͷ೉͍͠ͱ͜Ζ ʮִ཭ʯͷٕज़બఆ ʮݖݶ؅ཧʯΛݫີʹ
࣮૷ྫΛݟͯΈΑ͏ ༗༻ͳϥΠϒϥϦͱظ଴͢Δ࢓༷

/FYU ʮ1MVHJOγεςϜʯͷೝࣝ߹Θͤ👈 1MVHJOγεςϜͷ೉͍͠ͱ͜Ζ ʮִ཭ʯͷٕज़બఆ ʮݖݶ؅ཧʯΛݫີʹ ࣮૷ྫΛݟͯΈΑ͏
༗༻ͳϥΠϒϥϦͱظ଴͢Δ࢓༷

ʮ1MVHJOγεςϜʯ ͬͯͲΜͳ΍ͭʁ

1MVHJOγεςϜͷΠϝʔδ ΞϓϦέʔγϣϯιϑτ΢ΣΞͷػೳΛ֦ு͢ΔͨΊʹ௥Ճ͢Δ͜ͱͷͰ͖ ΔϓϩάϥϜϞδϡʔϧͷҰछɻ 8JLJQFEJBʮϓϥάΠϯʯͷϖʔδΑΓ TU1BSUZͱSE1BSUZ w TU1BSUZΞϓϦέʔγϣϯ։ൃଆ͕ग़͍ͯ͠Δެࣜͷ΋ͷ w SE1BSUZϢʔβʔ΍ΞϓϦέʔγϣϯ։ൃଆͰͳ͍اۀͳͲ͕࡞੒
SE1BSUZͷ΋ͷ΋ؚΊͯɺ੡඼ͷ֦ுΛड͚ೖΕΔ࢓૊Έ͕ʮ1MVHJOγες Ϝʯͱݺ͹Ε͕ͪͳؾ͕͢Δ ͋͘·Ͱൃදऀͷײ֮Ͱ͸

αΠϘ΢ζͰ͸LJOUPOFͰͷࣄྫ ࠓճͷൃද಺༰͸ۀ຿Ͱ৽͍͠1MVHJOγεςϜΛ໛ࡧͨ͠ͱ͜Ζ͔Β࢝·Δ ˠαΠϘ΢ζͰ͸Ͳ͏͔ͩͬͨͷ࿩Λগ͚͍ͩͨ͠͠ αΠϘ΢ζͷओྗ੡඼LJOUPOFʹ͸੡඼Λ֦ுͰ͖Δ࢓૊Έ͕͋Δ w ʮΧελϚΠζʯ+4$44ͰLJOUPOFશମ΍ΞϓϦػೳͷ֦ு͕Ͱ͖Δ w ʮϓϥάΠϯʯ+4$44Ͱͷ֦ுΛύοέʔδԽͯ͠ಡΈࠐΊΔػೳ ˞͜͜Ͱ͍͏ʮΧελϚΠζʯ΍ʮϓϥάΠϯʯ͸͋͘·ͰLJOUPOFͰͷ༻ޠ

αΠϘ΢ζͰ͸࣮ࡍͷ༻్ྫ ࣮ࡍʹ࢖ΘΕ͍ͯΔྫ w ݟͨ໨ͷΧελϚΠζ w 'PSN෦෼ͷ6*ͷมߋ w 'PSNೖྗޙͷಠࣗόϦσʔγϣϯ w ΧϯόϯͳͲͷಠࣗ6*ͷૠೖ
w 3&45"1*ͰόοΫάϥ΢ϯυॲཧ 👇͜͜ʂ

αΠϘ΢ζͰ͸QMVHJOγεςϜͷҐஔ෇͚ ͜ͷʮΧελϚΠζʯ΍ʮϓϥάΠϯʯʹΑΓ༷ʑͳۀ຿΍χʔζʹରԠՄೳ w ձܭۀ຿޲͚੡଄؅ཧ޲͚දܭࢉιϑτʹ׳Εͨਓ޲͚FUD ΧελϚΠζ΍ϓϥάΠϯΛϏδωεͱͯ͠Δύʔτφʔاۀ༷͕ଟ਺ w ʮϓϥάΠϯʯͱͯ͠ͷύοέʔδൢച w اۀʹ߹Θͤͨઐ༻ͷʮΧελϚΠζʯ΍ʮϓϥάΠϯʯͷ։ൃ ˠ੡඼Λ֦ு͢Δ͚ͩͰͳ͘ɺΤίγεςϜΛࢧ͑Δେ੾ͳػೳ

͜ͷτʔΫͰͷʮ1MVHJOγεςϜʯ ༷ʑͳʮ1MVHJOγεςϜʯ͕ଘࡏ͢Δ͕ɺ͜ͷτʔΫͰ͸ҎԼΛର৅ͱ͢Δ w ϒϥ΢β্Ͱಈ͘΋ͷ 㱠αʔόʔαΠυ w ඞવతʹ΄΅+4Ͱॻ͔ΕΔ 8BTNͳΒʁΈ͍ͨͳ࿩͸ޙड़
w SE1BSUZ Ϣʔβʔɾύʔτφʔاۀ༷ ʹΑΔ΋ͷ͕΄ͱΜͲ w ۀ຿ɾχʔζʹ߹Θ֦ͤͨுɾޮ཰Խखஈͱͯ͠ར༻͞ΕΔ ͳͷͰ͜ͷൃදͷλΠτϧ͸ʮϢʔβʔ͕࡞੒ͨ͠ίʔυΛϒϥ΢β্Ͱ҆શ ʹ࣮ߦͰ͖Δ1MVHJOγεςϜ΁ͷΞϓϩʔνʯ

/FYU ʮ1MVHJOγεςϜʯͷೝࣝ߹Θͤ 1MVHJOγεςϜͷ೉͍͠ͱ͜Ζ👈 ʮִ཭ʯͷٕज़બఆ ʮݖݶ؅ཧʯΛݫີʹ ࣮૷ྫΛݟͯΈΑ͏

ʮ1MVHJOγεςϜʯ ͬͯԿ͕େมͳͷʁ

΍͸Γ҆શੑ ·ͣ࠷ॳʹࢥ͍ͭ͘Ͱ͋Ζ͏໰୊͕҆શੑ Ұาؒҧ͑Δͱ w Ϣʔβʔ͕޷͖ʹίʔυΛ࣮ߦͰ͖Δˠ޷͖ʹෆਖ਼ɾഁյͰ͖Δ w ԚછʹΑͬͯΞϓϦέʔγϣϯίʔυͷਖ਼ৗͳ࣮ߦΛ๦͛ͨΓ w ౉ͨ͘͠ͳ͍৘ใ·ͰऔΕͯ͠·ͬͨΓ w
FUD ˠ҆શʹ1MVHJOͷίʔυΛ࣮ߦͰ͖Δ͜ͱ͕େલఏ

஫ҙࠓճͷʮ҆શੑʯͷલఏ ࠓճͷ1MVHJOγεςϜͰ͸ʮෆಛఆଟ਺͕4DSJQUΛ࣮ߦʯͰ͖ΔΘ͚Ͱ͸ͳ͍ ͋͘·ͰϢʔβ͕ઃఆͨ͠1MVHJOVTFS4DSJQU͕ධՁ͞ΕΔ૝ఆ ͜͜Ͱ͍͏ʮ҆શੑʯͱ͸۩ମతʹҎԼͷΑ͏ͳΠϝʔδ w ѱҙͷ༗ແʹؔΘΒͣɺΞϓϦέʔγϣϯͷڍಈΛյ͞ͳ͍ w "1*Ͱఏڙ͍ͯ͠Δํ๏Ҏ֎Ͱຊମ͔Β৘ใ͕औΕͳ͍ w "1*Ͱఏڙ͍ͯ͠Δํ๏Ҏ֎ͰΞϓϦέʔγϣϯͷڍಈɾ6*ΛมߋͰ͖ͳ͍

҆શੑͷઌͷ՝୊ ҆શੑ͕Ұ൪ͷ՝୊Ͱ͋Δ͜ͱ͸ؒҧ͍ͳ͍ ͨͩʮ1MVHJOγεςϜͷ՝୊҆શੑ໰୊ʯ͚ͩͰ͸ͳ͍ ҆શੑͷ໰୊ΛղܾͰ͖ͯ΋ɺҎԼͷΑ͏ͳ໰୊ɾχʔζ͕࢒Δ w ݖݶ؅ཧͷχʔζ w ੡඼ͱ1MVHJOγεςϜͷ௕ظӡ༻ʹ͓͚Δ໰୊

ݖݶ؅ཧͷχʔζ ಛʹۀ຿γεςϜͳͲͰ͸ΞΫηεͰ͖Δ৘ใͷݖݶ؅ཧ͕ݫີʹٻΊΒΕΔ w ෦ॺ΍໾৬ͳͲʹԠͯ͡؅ཧͰ͖Δ͜ͱ͕ඞਢ ͜ͷχʔζ͸΋ͪΖΜ1MVHJOγεςϜʹ΋ٻΊΒΕΔ w 1MVHJOಋೖऀ͸1MVHJO΍؀ڥ͝ͱʹݖݶΛ੍ݶ͍ͨ͠ w طଘαʔϏε΋༷ʑͳཻ౓Ͱ1MVHJOͷݖݶΛ੍ݶͰ͖Δ࢓૊ΈΛ͍࣋ͬͯΔ

1MVHJOγεςϜΛ௕͘αϙʔτ͢Δͱ͍͏͜ͱ ௕͘1MVHJOγεςϜΛαϙʔτ͢ΔͱҎԼͷΑ͏ͳ໰୊͕ൃੜͯ͘͠Δ w 1MVHJOػೳͷ͍ͤͰຊମϩδοΫ͕ෳࡶʹͳΓɺ։ൃίετ͕ංେ w 1MVHJOػೳࣗମͷ࣮૷ίετ "1*Ͱطଘಈ࡞΁հೖ͢Δ෦෼ͷෳࡶ͞ w ྫ͋Δ'JFMEͷදࣔɾඇදࣔ͸Ӿཡݖݶͱ"1*ʹΑΔૢ࡞྆ํΛධՁ w
ʮ1MVHJOͰͰ͖Δ͜ͱɾڍಈʯ͸͢΂ͯίϛϡχςΟʹਁಁ͠ɺґଘͱͳΔ w ͍ΘΏΔϋΠϥϜͷ๏ଇͱݺ͹ΕΔ΋ͷ w ৽͍͠ػೳΛ࡞Δͨͼʹʮ͜Εطଘͷ1MVHJOյΕͳ͍ΑͶʁʯͱͳΔ

͡Ό͋ɺͲ͏͢Ε͹

ݪଇ ͜ΕΒͷ໰୊Λ౿·͑Δͱ1MVHJOγεςϜʹେࣄͳͷ͸ҎԼͷ̏ͭ ͪΌΜͱ1MVHJOͷ࣮ߦ؀ڥΛִ཭͢Δ͜ͱ w ҆શੑͷ໘Ͱͷమଇ ִ཭؀ڥͱຊମ؀ڥͷ΍ΓऔΓΛ୯Ұͷ΋ͷʹ͢Δ͜ͱ w ͜ΕΛ͓͔ͯ͠ͳ͍ͱݖݶͷ੍ޚͳͲ͕೉͍͠
8FCඪ४ͷ࢓૊ΈʹͳΔ΂͘৐Δ͜ͱ w ಠࣗϩδοΫ͕૿͑Δ΄Ͳಠࣗڍಈ͸૿͑ɺຊମͷ։ൃΛಷԽͤ͞Δ

/FYU ʮ1MVHJOγεςϜʯͷೝࣝ߹Θͤ 1MVHJOγεςϜͷ೉͍͠ͱ͜Ζ ʮִ཭ʯͷٕज़બఆ👈 ʮݖݶ؅ཧʯΛݫີʹ ࣮૷ྫΛݟͯΈΑ͏

1MVHJOִ཭ͷΠϝʔδ ϓϥάΠϯͷ࣮ߦ؀ڥΛִ཭ͭͭ͠ɺຊମͱͷ΍ΓऔΓΛ"1*ܦ༝Ͱߦ͏ ΞϓϦέʔγϣϯຊମ 1MVHJO" HFU"QQ*E \JE^

ϒϥ΢β্ͰίʔυΛʮִ཭ʯ͢ΔͨΊͷબ୒ࢶ ϒϥ΢β্Ͱίʔυ࣮ߦΛִ཭͢Δํ๏͸͍͔ͭ͘ߟ͑ΒΕΔ w JGSBNF w 8FC8PSLFS w +4&OHJOFPO8"4. w 3FBMNT4IJN
ͦΕͧΕͷϝϦοτɾσϝϦοτΛߟ͍͑ͯ͘

JGSBNFͰִ཭͢Δ ΞϓϦέʔγϣϯຊମʹຒΊࠐΜͩJGSBNFͰϓϥάΠϯίʔυΛ࣮ߦ͢Δํ๏ ϝϦοτ👍 w ϒϥ΢β্ͷػೳ͕΄ͱΜͲͦͷ··࢖͑Δ w ϖʔδΛຒΊࠐΜͰΔͷͰ6* %0. ΋͍࣋ͬͯΔ σϝϦοτ👎
w େྔʹੜ੒͢ΔͱύϑΥʔϚϯεͷݒ೦͕͋Δ w ΞϓϦέʔγϣϯຊମͱͷ΍ΓऔΓ͸جຊඇಉظʹͳΔ ಉظ"1*͸೉͍͠

8FC8PSLFSͰִ཭͢Δ ຊମଆ͔Β࡞੒ͨ͠8FC8PSLFSͰϓϥάΠϯίʔυΛ࣮ߦ͢Δํ๏ w 8FC8PSLFSϝΠϯεϨουͱผεϨουͰ+4Λ࣮ߦͰ͖Δ࢓૊Έ ϝϦοτ👍 w +BWB4DSJQUͷඪ४తͳػೳ͕࢖͑Δ σϝϦοτ👎 w %0.ૢ࡞͸Ͱ͖ͳ͍ͷͰɺ6*ૢ࡞͸ΞϓϦέʔγϣϯଆͰڮ౉͢͠Δඞཁ
w ΞϓϦέʔγϣϯຊମͱͷ΍ΓऔΓ͸جຊඇಉظʹͳΔ ಉظ"1*͸೉͍͠

+4&OHJOFPO8BTNͰִ཭͢Δલఏ 8BTN 8FC"TTFNCMZ ʹ͍ͭͯ w 8FCϒϥ΢β্Ͱߴ଎ʹಈ࡞͢Δɺ$$ ɺ3VTUɺ(PͳͲ༷ʑͳݴޠ͔Β ίϯύΠϧՄೳͳόΠφϦܗࣜͷ໋ྩηοτɾϑΥʔϚοτ 8BTN্Ͱ௚઀+4͸ಈ͔ͳ͍ ˠ8BTN্Ͱ+4&OHJOFΛಈ͔ͯͦ͠ͷ্Ͱ+4Λ࣮ߦ͢Ε͹͍͍ͷͰ͸ʁ
ˠʮ+4&OHJOFPO8BTNʯ w ࣮ࡍͷݕূ2VJDLKTΛ8BTN্Ͱಈ͔ͯͦ͠ͷ্Ͱ+4Λ࣮ߦͨ͠

+4&OHJOFPO8BTNͰִ཭͢ΔΠϝʔδ 8"4. 2VJDL+4&OHJF 1MVHJO$PEF +4

+4&OHJOFPO8BTNͰִ཭͢Δ ϝϦοτ👍 w ϝϞϦϨϕϧͰִ཭͞Εͨ+4ͷ࣮ߦ؀ڥ͕ಘΒΕΔ 8BTNͷڧΈ w ͏·͘ڮ౉͠Λ͢Ε͹ಉظతͳ"1*Λ࡞Δ͜ͱ΋Մೳ σϝϦοτ👎 w
ΞϓϦέʔγϣϯຊମͱͷڮ౉͠Λࣗ෼ͨͪͰ࣮૷͢Δඞཁ͕͋Δ w ར༻Ͱ͖Δ+4ͷػೳ͸+4&OHJOF࣍ୈ+4ͷݴޠػೳ͔͠࢖͑ͳ͍ w 6*͸ͳ͍ͷͰ%0.͸ૢ࡞Ͱ͖ͳ͍ॳظϩʔυͷ໘Ͱෆར

3FBMNT4IJNͰִ཭͢Δલఏ ͦ΋ͦ΋3FBMNT &$."4DSJQU3FBMNT ͱ͸ w &$."4DSJQU +4ͷ࢓༷ Ͱఆٛ͞Ε͍ͯΔ֓೦ͷͭ w +4͕ධՁ͞ΕΔάϩʔόϧม਺΍ϏϧυΠϯΫϥεɺ࣮ߦ͞ΕΔίʔυ΍ঢ়
ଶɾϦιʔεͳͲΛ͢΂ͯ·ͱΊ΋ͷ w ΑΓৄ͘͠͸.%/ͷʮ+BWB4DSJQUFYFDVUJPONPEFMʯͱ͍͏هࣄ͕ྑ͍ 3FBMN4IJNT3FBMNTͱݺ͹ΕΔ࢓૊Έ ֓೦ Λ࣮ݱ͢ΔTIJN w 㲈Ծ૝తʹ3FBMNΛ৽͘͠࡞ΕͯΔΑ͏ʹ͢Δٕज़

3FBMNT4IJNͰִ཭͢Δ ϝϦοτ👍 w +BWB4DSJQUͷඪ४తͳػೳ͕࢖͑Δ σϝϦοτ👎 w ݩʑ͋ͬͨϝδϟʔͳ࣮૷ʹ੬ऑੑ͕ใࠂ͞Ε͓ͯΓɺ࣮࣭࢖͑ͳ͍ w ͔ͱ͍͔ͬͯΒͦͷ࢓૊ΈΛ࡞Δͷ͸େม ޙड़͢ΔఏҊஈ֊ͷඪ४ʹظ଴͢Δ͔͠ແ͍ঢ়ଶ😭

ͲΕΛબ΅͏

બ͹Εͨͷ͸ʮJGSBNFʯͰͨ͠ େ͖͔ͬͨϝϦοτ w 6*Λ͍࣋ͬͯͯ%0.ૢ࡞ΛؚΊͨ΄΅׬ᘳͳ+4࣮ߦ؀ڥͰ͋Δ͜ͱ w ͪΌΜͱઃఆ ޙड़ ͢Ε͹࣮ߦΛ҆શʹִ཭͢Δ͜ͱ͕Մೳ w 8FCͷඪ४ػೳʹ৐ΕΔͷͰϓϥάΠϯػߏ͕ෳࡶԽ͠ʹ͍͘
͋Δఔ౓ڐ༰Ͱ͖Δͱ൑அͨ͠σϝϦοτ w ύϑΥʔϚϯεˠ4&0΍ϢʔβମݧΛؾʹ͢Δ΋ͷΑΓ͸एׯ༏ઌ౓͕௿͍ w "1*͕ඇಉظͳΔˠࠓޙ௥Ճ͍ͯ͘͠"1*Ͱॱ࣍ඇಉظͷ΋ͷ͚ͩʹ

˞؀ڥʹΑͬͯ͸ҟͳΔબఆʹͳΔՄೳੑ΋͋Δ ݕ౼͢ΔίϯςΩετʹΑͬͯ͜ͷબఆ͸มΘΔ w %0.ૢ࡞͸͠ͳ͍8FC8PSLFS+4&OHJOFPO8BTN΋ࢹ໺ w αʔόʔαΠυؚΊಉ͡࢓૊Έʹ͍ͨ͠+4&OHJOFPO8BTN΋ࢹ໺ w ผʹݴޠ͕+4Ͱͳͯ͘΋8BTNͰͷ࣮ߦ͕͔ͳΓ༗ྗ ܾͯ͠ʮJGSBNF͕࠷ڧʂʯͱ͍͏Θ͚Ͱ͸ͳ͍ͷ͸஫ҙ

/FYU ʮ1MVHJOγεςϜʯͷೝࣝ߹Θͤ 1MVHJOγεςϜͷ೉͍͠ͱ͜Ζ ʮִ཭ʯͷٕज़બఆ ʮݖݶ؅ཧʯΛݫີʹ👈 ࣮૷ྫΛݟͯΈΑ͏

1MVHJOͷݖݶͷ؅ཧΛ͍ͨ͠ 1MVHJOଆ͕ΞΫηεͰ͖Δ৘ใɾͰ͖Δૢ࡞Λઃఆ௨Γʹ੍ݶ͍ͨ͠ 1MVHJOͷִ཭؀ڥ͔ΒϦιʔεʹΞΫηε͢Δϧʔτ͸ͭ w ִ཭؀ڥ JGSBNF ↔︎ ΞϓϦέʔγϣϯຊମͷ௨৴ w
ִ཭؀ڥ JGSBNF ˠ֎෦Ϧιʔε ֎෦ͷ"1*ɾαʔϏεͳͲ ˠ͜ͷ͕ͭઃఆ௨Γʹ੍ݶͰ͖Δ࢓૊Έ͕͋Ε͹ྑ͍ʂ👍

ִ཭؀ڥ ↔︎ ΞϓϦέʔγϣϯຊମͷ௨৴Λ੍ݶ ͜ͷ৔߹୯ʹΞϓϦέʔγϣϯଆ͕ϦΫΤετΛڋ൱͢Ε͹ྑ͍ w ͋͘·Ͱओಋݖ͸ΞϓϦέʔγϣϯଆ͕࣋ͬͯΔ ΞϓϦέʔγϣϯຊମ 1MVHJO" ڐՄ͞Εͨ"1* ྫHFU"QQ*E
ฦ౴͢Δ \JE^ ڐՄ͞Εͯͳ͍"1* ྫVQEBUF ❌ ෆڐՄ 1FSNJTTJPO&SS

ִ཭؀ڥ͔Β֎෦Ϧιʔε΁ͷΞΫηεΛ੍ݶ JGSBNFඪ४తͳ֎෦ϦιʔεΞΫηε͸جຊͰ͖Δ w ֎෦ͷ"1*ΛGFUDI͢Δ w ֎෦ͷը૾ͳͲΛಡΈࠐΉύϥϝʔλͱͯ͠৘ใΛૹ৴ w FUD ͜ΕΒͷ௨৴Λ੍ݶ͍ͨ͠ ˠִ཭؀ڥͷJGSBNFʹ$41
$POUFOU4FDVSJUZ1PMJDZ Λઃఆ͢Δ

ִ཭؀ڥ͔Β֎෦Ϧιʔε΁ͷΞΫηεΛ੍ݶ $41จॻ͕ಡΈࠐΉϦιʔε੍ޚͳͲΛͰ͖Δ࢓૊Έ w JGSBNFੜ੒࣌ͷNFUBλάPS)551)FBEFSͰࢦఆͰ͖Δ 1MVHJO" ΞϓϦέʔγϣϯଆͰࢦఆͨ͠$41 ڐՄ͞Εͨ%PNBJO ڐՄ͞Εͳ͍%PNBJO ❌

1MVHJOʹର͢Δݖݶ؅ཧͷΠϝʔδ ΞϓϦέʔγϣϯຊମ 1MVHJO" ❌ ΞϓϦέʔγϣϯଆͰࢦఆͨ͠$41 ❌ 0,"1* /("1* 0,%PNBJO /(%PNBJO

/FYU ʮ1MVHJOγεςϜʯͷೝࣝ߹Θͤ 1MVHJOγεςϜͷ೉͍͠ͱ͜Ζ ʮִ཭ʯͷٕज़બఆ ʮݖݶ؅ཧʯΛݫີʹ ࣮૷ྫΛݟͯΈΑ͏👈

࣮ࡍʹߟ͑ͨ৽͍͠1MVHJOγεςϜͷߏ੒ ͜Ε·Ͱͷٕज़બఆΛ౿·্͑ͨͰࠓճ࣮૷ͨ͠1MVHJOγεςϜ ΞϓϦέʔγϣϯຊମ BQQDPN JGSBNF 1MVHJO" TSDBQMVHJODPN JGSBNF
1MVHJO# TSDCQMVHJODPN $ 4 1 $ 4 1 $IBOOFM .FTTBHF

ਤ͚ͩͩͱΘ͔Βͳ͍ ͱࢥ͏ͷͰ

ࠓճͷߏ੒ͰϙΠϯτͱͳΔͱ͜Ζ ࠓ·Ͱͷٕज़બఆΛ౿·্͑ͨͰϙΠϯτͱͳΔ෦෼ w ࣮ߦ؀ڥ͸$SPTT0SJHJOJGSBNFʹ͢Δ w OVMMPSJHJOͱTFDVSF$POUFYUʹ͍ͭͯ w ҟͳΔϓϥάΠϯಉ࢜΋$SPTT0SJHJOʹ w JGSBNFͷTBOECPYଐੑ
w JGSBNF ↔︎ ΞϓϦέʔγϣϯຊମͷ௨৴ $IBOOFM.FTTBHJOH"1* w NBOJGFTU fi MFͱ$41ʹΑΔ֎෦ϦιʔεΞΫηεͷ੍ݶ

࣮ߦ؀ڥ͸$SPTT0SJHJOJGSBNF ࣮ߦ؀ڥͱͳΔJGSBNF͸ΞϓϦέʔγϣϯຊମͱ$SPTT0SJHJOʹ͢Δ ˠ͜͏͢ΔͱʮJGSBNFͷ਌ ΞϓϦέʔγϣϯຊମ ΁ࢀর͕Ͱ͖ͳ͘ͳΔʯͱ ͍͏ϝϦοτ͕͋Δ ۩ମతʹ͸ҎԼͷΑ͏ͳܗ w ຊମͱ$SPTT0SJHJOͳυϝΠϯͰ1MVHJO͕࣮ߦ͞ΕΔϖʔδΛ)PTUJOH w
IUUQTGPPDPN ຊମ ↔︎ IUUQTGPPQMVHJOBDPN ϓϥάΠϯ w ˢΛJGSBNFͱͯ͠ຒΊࠐΉ

࣮ߦ؀ڥ͸$SPTT0SJHJOJGSBNF 4BNF0SJHJOͷ৔߹ ΞϓϦέʔγϣϯ 1BSFOU 1MVHJO *GSBNF ΞΫηε Ͱ͖ͪΌ͏ $SPTT0SJHJOͷ৔߹ ΞϓϦέʔγϣϯ
1BSFOU 1MVHJO *GSBNF ΞΫηε Ͱ͖ͳ͍ ❌

OVMMPSJHJOͱ4FDVSF$POUFYU JGSBNFʹಛఆͷTSDΛࢦఆͤͣBMMPXTBNFPSJHJO΋෇͚ͳ͍ ˠJGSBNF಺͸PSJHJO͕ແ͍ঢ়ଶʹͳΔ௨শOVMMPSJHJO OVMMPSJHJOͰ΋ʮΞϓϦέʔγϣϯຊମͱ$SPTT0SJHJOʯ͸࣮ݱͰ͖Δ͕ σϝϦοτʮ4FDVSF$POUFYUͰ͔͠ར༻Ͱ͖ͳ͍ػೳʯ͕࢖͑ͳ͍ w ۩ମతʹ͸(FPMPDBUJPO"1*ͱ͔͕࢖͑ͳ͘ͳΔ w ৄ͘͠͸ʮอޢ͞ΕͨίϯςΩετʹ੍ݶ͞Ε͍ͯΔػೳ .%/
ʯΛࢀর ˠOVMMPSJHJOͳJGSBNF͸ਪ঑Ͱ͖ͳ͍ʂ

ҟͳΔ1MVHJOಉ࢜͸$SPTT0SJHJOʹ͢Δ લఏͱͯ͠ w 4BNF0SJHJOͷJGSBNFಉ࢜͸ޓ͍ʹࢀরͰ͖Δ w 1MVHJOʹΑͬͯ༩͑ΒΕΔݖݶ͸ҟͳΔ ্ه̎ͭΛ͏·͘ར༻͢Δͱʮݖݶ͕ڧ͍1MVHJOΛར༻ͨ͠ෆਖ਼ͳݖݶঢ֨ʯ ͕Ͱ͖ͯ͠·͏ڪΕ͕͋Δɻ ͳͷͰҟͳΔ1MVHJOಉ࢜͸$SPTT0SJHJOʹ͢Δඞཁ͕͋Δ w
ྫIUUQTBGPPQMVHJODPN ↔︎ IUUQTCGPPQMVHJODPN

ิ଍ ٯʹಉ͡1MVHJOͷJGSBNF͸4BNF0SJHJOʹ ಉ͡1MVHJOʹΑͬͯຒΊࠐ·ΕͨJGSBNF͕ෳ਺͋Δ৔߹ɺ w ޓ͍ʹ4BNF0SJHJOͳϝϦοτ͕େ͖͍ 4BNF0SJHJOಉ࢜ͷJGSBNFͷϝϦοτ w σʔλΛૹΓ͋ͬͨΓɺޓ͍ͷ%0.ΛࢀরͰ͖ͨΓ͢Δ w -PDBM4UPSBHF΋ڞ༗Ͱ͖Δ
ˠಉ͡1MVHJOಉ࢜Ͱ࿈ܞ͕औΕΔʂɹ

JGSBNFͷTBOECPYଐੑ TBOECPYଐੑJGSBNFʹຒΊࠐ·Εͨίϯςϯπʹద༻͞ΕΔ੍ݶΛ੍ޚ w JGBSNF಺ͷϖʔδ͕Ͱ͖Δ͜ͱΛڐՄ੍Ͱ؇͘Ͱ͖Δ࢓૊Έ ࠓճͰ͸Ұ୴BMMPXTDSJQUT͚ͩڐՄͯ͠Δ w ͡Όͳ͍ͱJGSBNF಺Ͱ+4͕࣮ߦͰ͖ͳ͘ͳͬͯ͠·͏ͨΊ ิ଍ BMMPXଐੑʹ1FSNJTTJPOT1PMJDZΛࢦఆ͢Δ͜ͱʹ͍ͭͯ w
ݱঢ়'JSF'PYͱ4BGBSJ͕αϙʔτ͓ͯ͠Βͣ೉͍͠

JGSBNF ↔︎ ΞϓϦέʔγϣϯຊମͷ௨৴ ΞϓϦέʔγϣϯຊମͱͷ௨৴͸$IBOOFM.FTTBHJOH"1*Λར༻͢Δ $IBOOFM.FTTBHJOH"1*ͱ͸ w ҟͳΔίϯςΩετؒͰ௨৴Λߦ͏ͨΊͷඪ४ػೳ w *GSBNF ↔︎
ຒΊࠐΈݩϖʔδͭͷJ'SBNFಉ࢜จॻͱ4IBSFE8PSLFS ΞϓϦέʔγϣϯຊମͱ$PSTT0SJHJOJGSBNFͱͰ௨৴͢Δ།Ұͷํ๏ w ٯʹݴ͑͹$IBOOFM.FTTBHJOH"1*ʹݶఆͰ͖Δ

JGSBNF ↔︎ ΞϓϦέʔγϣϯຊମͷ௨৴ $IBOOFM.FTTBHJOH"1*͸ଞͷҟͳΔ0SJHJOͱ΋௨৴͕Ͱ͖ͯ͠·͏ ˠ66*%ͳͲΛར༻ͨ͠ૄ௨ͷ֬ೝͱPSJHJOνΣοΫΛߦ͏͜ͱ͕େࣄ ૄ௨֬ೝͱ0SJHJOνΣοΫͷجຊతͳྲྀΕ ຊମˠQMVHJOJGSBNFʹ66*%ૹ৴ JGSBNF͸ड͚औͬͨΒૹΓओͷPSJHJOΛνΣοΫͦ͠ͷ··ฦ৴
ຊମ͸1MVHJOJGSBNF͔Βͷฦ৴Λ֬ೝ 66*%͕ಉ͡PSJHJO͕ਖ਼͍͔͠

$IBOOFM.FTTBHJOH"1*Ͱͷૄ௨ ຊମˠQMVHJOJGSBNFʹ66*%Λૹ৴͢Δ const uuid = generateUUID(); const channel = new
MessageChannel(); function onLoad() { // send UUID iframe.contentWindow.postMessage(uuid, "*", [channel.port2]); }

$IBOOFM.FTTBHJOH"1*Ͱͷૄ௨ JGSBNF͸ड͚औͬͨΒૹΓओͷPSJHJOΛνΣοΫͦ͠ͷ··ฦ৴ const handler = (e) => { if (!checkMessageOrigin(e.origin))
{ reject(new Error("Invalid origin")); } messagePort.postMessage(e.data); window.removeEventListener("message", handler); // ... }; window.addEventListener("message", handler);

$IBOOFM.FTTBHJOH"1*Ͱͷૄ௨ ຊମ͸1MVHJOJGSBNF͔Βͷฦ৴Λ֬ೝ 66*%͕ಉ͡PSJHJO͕ਖ਼͍͔͠ const handler = (e) => { if
(e.data === uuid && checkMessageOrigin(e.origin)) { resolve(channel.port1); } else { reject(new Error("Invalid message origin or uuid")); } channel.port1.removeEventListener("message", handler); }; channel.port1.addEventListener("message", handler);

.BOJGFTU'JMFͷಋೖͱݖݶͷνΣοΫ 1MVHJO͝ͱʹNBOJGFTUϑΝΠϧΛॻ͖ɺඞཁͳݖݶΛྻڍͯ͠΋Β͏ w Πϝʔδͱͯ͠͸ϒϥ΢β֦ுʹ͍ۙ ҎԼ͸FYBNQMFDPN΁ͷΞΫηεͱBQQHFU*E͚ͩڐՄͯ͠Δྫ { "allowed_hosts": ["https://example.com"], "permissions": {
"js_api": ["kintone.app.getId"], } }

.BOJGFTU'JMFͷಋೖͱݖݶͷνΣοΫ .BOJGFTU'JMFͷݖݶʹԠͯ͡$41Λઃఆ͢Δ͜ͱͰ֎෦ΞΫηεΛ੍ݶ ·ͨར༻Ͱ͖Δ"1*΋ΞϓϦέʔγϣϯຊମଆͰ੍ݶ͢Δ // Other Headers Content-Security-Policy: script-src example.com ΞϓϦέʔγϣϯຊମ
1MVHJO" .BOJGFTU ❌ LJOUPOFBQQHFU*E

/FYU ʮ1MVHJOγεςϜʯͷೝࣝ߹Θͤ 1MVHJOγεςϜͷ೉͍͠ͱ͜Ζ ʮִ཭ʯͷٕज़બఆ ʮݖݶ؅ཧʯΛݫີʹ
ࠓճͷઃܭΛݟͯΈΑ͏ ༗༻ͳϥΠϒϥϦͱظ଴͢Δ࢓༷👈

ศརϥΠϒϥϦ$PNMJOL JGSBNFͱຊମ෦෼ͷૄ௨ΛؤுΔͷେมˠ$PNMJOLͰղܾ $PNMJOLͱ͸ w ҟͳΔίϯςΩετͷ௨৴Λେ෯ʹ؆ૉԽͯ͘͠ΕΔϥΠϒϥϦ w (PPHMF$ISPNF-BCT͕։ൃ͍ͯ͠Δ w ͔̍Β࣮૷͢ΔΑΓ$PNMJOLΛ࢖ͬͨํ͕ϋϚΔ͜ͱ͸গͳͦ͏ ࢀߟʮ1SPYZʹΑΔ8JOEPXؒ31$ػߏͷߏஙʯCZ4ZVNBJ͞Μ

4IBEPX3FBMNT1SPQPTBM ෮श &$."4DSJQU +4ͷ࢓༷ ʹ͸3FBMNTͱ͍͏֓೦͕͋ͬͨ w ݱঢ়3FBMNT͚ͩΛϢʔβʔ͕ࣗ༝ʹ࡞੒͢Δํ๏͸ͳ͍ ͱ͍͏͜ͱͰʮࣗ༝ʹ3FBMNTΛ࡞ΕΔΑ͏ʹ͍ͨ͠ʯͱ͍͏࢓༷ఏҊ͕͋Δ ˠ4IBEPX3FBMNT1SPQPTBM ݱࡏ͸4UBHFͷ࢓༷ͳͷͰ·ͩ࣌ؒ͸͔͔Γͦ͏
w +4ͷ࢓༷ఏҊʹ͸4UBHF͕͋ͬͯɺˠˠˠˠͱ্͕͍ͬͯ͘ w 4UBHFͰ੖Εͯਖ਼ࣜ࢓༷ʹͳΔ

4IBEPX3FBMNT1SPQPTBM 3FBMNTΛ໌ࣔతʹ࡞੒Ͱ͖Δ4IBEPX3FBMNΫϥεΛ௥Ճ͢Δ w ࡞੒͞Εͨ3FBMN಺Ͱ͸+BWB4DSJQUΛධՁͰ͖Δ const realm = new ShadowRealm(); const
result = realm.evaluate(` function add(s1, s2) {return s1 + s2;} add("Hello, ", "world!"); `); console.log(result); // Hello, World!

4IBEPX3FBMNT1SPQPTBM ਖ਼ࣜͳ૊ΈࠐΈ"1*ͱͯ͠ೝΊΒΕ࣮૷͕ਐΊ͹ w ඪ४Ͱ+4ΛධՁ͢Δํ๏͕૿͑Δ w ؔ࿈͢Δ1SPQPTBMͰΑΓศརʹͳΔՄೳੑ΋͋Δ w ΑΓࣗ༝ͳ੍ޚ΍֦ுੑ w ΑΓηΩϡΞʹ
ࠓޙʹظ଴͍ͨ͠Ͱ͢Ͷ

ऴΘΓʹ

·ͱΊ w ϒϥ΢β্ʹ͓͚Δ1MVHJOγεςϜʹ͸҆શੑҎ֎ʹ΋೉఺͕͋Δ w ִ཭ͷํ๏ͱͯ͠ݱঢ়͍͔ͭ͘ߟ͑ΒΕΔ͕ɺࠓճ͸JGSBNFΛબ୒ͨ͠ w JGSBNFͰͷִ཭ʹՃ͑ͯ$41Λઃఆ͢ΔͱΑΓݖݶΛݫີʹ؅ཧͰ͖Δ w ٕज़બఆΛ΋ͱʹࠓճઃܭͨ͠1MVHJOγεςϜͷ֎؍ͱ஫ҙ఺Λઆ໌ͨ͠ w
ߏ੒$IBOOFM.FTTBHJOHͷ஫ҙ0SJHJOͷѻ͍$41FUD w JGSBNFͱͷ௨৴ʹศརͳ$PNMJOLͱ4IBEPX3FBMNT1SPQPTBM΁ͷظ଴

3ZVTFJ4BKJLJ!TBKJLJY ͋Γ͕ͱ͏͍͟͝·ͨ͠

ユーザーが作成したコードをブラウザ上で安全に実行できる Plugin システムへのアプローチ

ユーザーが作成したコードをブラウザ上で安全に実行できる Plugin システムへのアプローチ

More Decks by Saji

Featured

Transcript