昨日のブログ記事の続きになります。対策を行っています。
セキュリティヘッダ ”X-Frame-Options” の未設定もしくは設定の不備
脆弱性というのは普通にブログ書いているものにとってはかなり難解な部分が多いです。この不備に関しては、 frame に不正な処理を施したところで。。。えーと、引用します。
クリックジャッキングと呼ばれる、悪意のある埋め込まれた外部サイトページ上のボタンをクリックすると、利用者に意図しない操作を実施させるといった行為を防ぐためのレスポンスヘッダーのようです。
なんだかわからないのですが、悪意ある者がいろんなことを考えているのがわかりますねぇ。対策は .htaccess にヘッダー定義を書き込むことで対策になります。私が設定したのは、
Header always set X-Frame-Options "sameorigin"この1文です。全部否定するのではなく、同一ドメインは許可して他は否定するコードですね。
セキュリティヘッダ ”X-Content-Type-Options” の未設定
さてこちらも初耳でした。今度は素直に引用します。
MIME スニッフィングは、ブラウザが Content-Type ヘッダーに指定されたデータの種類を確認せずに、実際のデータの形式を推測しようとする問題です。攻撃者は、不正な形式のデータを提供することで、ブラウザが誤った形式として解釈し、悪意のあるコードを実行する可能性があります。
コンテンツタイプというのが標準で設定されておらず、違うものとして扱おうとすると。。。よく分かりません。とにもかくにも設定したのは .htaccess にヘッダー定義を書き込みます。
Header always set X-Content-Type-Options "nosniff"スニッフィングを禁止するという指定になります。うむ、分かってないので不安です。ちなみにこの指定をしたときに、コピペすればいいものの、手打ちしたらダブルクォーテーションを1個余計に打ち込んで、サーバーがエラーを吐くというトラブルがありました。前後関係からこのコードが問題と分かりましたが、チェックは必要ですね。
セキュリティヘッダ ”Access-Control-Allow-Origin” の設定
さて、これが問題です。
・「 Access-Control-Allow-Origin 」が「 * 」として設定されています すべてのオリジンからのアクセスを許可する設定は、セキュリティリスクを高めるため、慎重に使用する必要があります。特定のオリジンに絞って設定してください。
私のブログは、いろんなサービスを利用しています。必ずしも自ドメインだけではない可能性があります。自ドメインだけに限定する場合は、
Access-Control-Allow-Origin: https://smile-peace4.comと指定すれば良いのですが、ちゃんと調べないと表示が乱れる可能性があるので、こいつの対策は保留します。
セキュリティヘッダ ”Content-Security-Policy” の未設定もしくは設定の不備
実は、これも上の Access-Control-Allow-Origin と同様に、自ドメインに限定されていないという理由で対策しづらいですねぇ。対策としては、信頼できるリソースに引用部分を限定することで、脆弱性を最小限にできるとなっています。しかし、現状私のブログでは難しい。一つに絞るのはなかなか難しいのです。
故に、これも対策を保留とします。
まとめに変えて
難しいですね。全体としては、対策を取ったつもりですが、最後の2つはあえて保留にしました。次回の診断でちゃんと対策が有効と認められるか楽しみですし、新たな脆弱性が生まれてくる可能性もありますね。
7つの注意点それぞれを調べたのも有意義だったと思ってます。どれも知らないことでしたから。
投稿者プロフィール
最新の投稿
Mac2025年7月10日iMac(M1) と Mac mini(M4)
Mac2025年7月1日思い出さなかった: macOS GUI で行う共有設定
ノン・カテゴリ2025年5月21日視力低下
ノン・カテゴリ2025年4月16日東山グランドホテル滞在中
Follow me!
