拡張機能はブラウザ内の特別な権限にアクセスできるため、攻撃者にとって格好の標的です。拡張機能が侵害されると、その拡張機能のすべてのユーザーが悪意のある侵入または望ましくない侵入に対して脆弱になります。これらの手法を取り入れることで、拡張機能とユーザーを保護できます。
デベロッパー アカウントを保護する
拡張機能コードは、Google アカウントを通じてアップロードおよび更新されます。デベロッパーのアカウントが侵害された場合、攻撃者が悪意のあるコードを直接すべてのユーザーに push する可能性があります。これらのアカウントを保護するには、専用のデベロッパー アカウントを作成し、2 要素認証を有効にします(セキュリティ キーを使用することをおすすめします)。
グループの選択を維持
グループ公開を使用する場合は、グループを信頼できるデベロッパーに限定してください。知らない人からのメンバーシップ リクエストは受け付けないでください。
HTTP を使用しない
データをリクエストまたは送信する際は、HTTP 接続を避けてください。HTTP 接続では傍受を行うか、変更が行われることを想定しています。HTTPS は、ほとんどの中間者攻撃を回避する組み込みのセキュリティを備えているため、常に優先する必要があります。
最小限の権限をリクエストする
Chrome ブラウザでは、マニフェストで明示的にリクエストされた権限にのみ拡張機能がアクセスできるよう制限されます。拡張機能は、依存する API とウェブサイトのみを登録することで、権限を最小限に抑える必要があります。任意のコードは最小限に抑える必要があります。
拡張機能の権限を制限すると、潜在的な攻撃者が悪用できるものが制限されます。
クロスオリジンの XMLHttpRequest
拡張機能は、自身と権限で指定されたドメインからのみリソースを取得するために XMLHttpRequest を使用できます。
{
"name": "Very Secure Extension",
"version": "1.0",
"description": "Example of a Secure Extension",
"permissions": [
"/*",
"https://*.google.com/"
],
"manifest_version": 2
}
この拡張機能は、権限に "/*"
と "https://*google.com/"
を指定して、developer.chrome.com と Google のサブドメインに対するすべてのアクセス権をリクエストします。この拡張機能は、不正使用された場合でも、一致パターンを満たすウェブサイトとやり取りする権限のみを保持しています。攻撃者は、"https://user_bank_info.com"
にアクセスしたり、"https://malicious_website.com"
を操作したりすることはできません。
マニフェスト フィールドを制限する
マニフェストに不要な登録を含めると、脆弱性が生じ、拡張機能が見やすくなります。マニフェスト フィールドを拡張機能が依存するフィールドに限定し、特定のフィールド登録を提供します。
外部接続可能
externally_connectable
フィールドを使用して、拡張機能が情報を交換する外部拡張機能とウェブページを宣言します。信頼できるソースに外部から接続できる相手を制限します。
{
"name": "Super Safe Extension",
"externally_connectable": {
"ids": [
"iamafriendlyextensionhereisdatas"
],
"matches": [
"/*",
"https://*google.com/"
],
"accepts_tls_channel_id": false
},
...
}
ウェブアクセス可能なリソース
web_accessible_resources
でウェブからリソースにアクセスできるようにすると、ウェブサイトや攻撃者が拡張機能を検出できるようになります。
{
...
"web_accessible_resources": [
"images/*.png",
"style/secure_extension.css",
"script/secure_extension.js"
],
...
}
ウェブアクセス可能なリソースが多ければ多いほど、攻撃者が利用する手段も増えます。これらのファイルは最小限に抑えてください。
明示的なコンテンツ セキュリティ ポリシーを含める
クロスサイト スクリプティング攻撃を防ぐため、マニフェストに拡張機能のコンテンツ セキュリティ ポリシーを追加します。拡張機能がそれ自体からのみリソースを読み込む場合は、以下を登録します。
{
"name": "Very Secure Extension",
"version": "1.0",
"description": "Example of a Secure Extension",
"content_security_policy": "default-src 'self'"
"manifest_version": 2
}
特定のホストのスクリプトを拡張機能に含める必要がある場合は、含めることができます。
{
"name": "Very Secure Extension",
"version": "1.0",
"description": "Example of a Secure Extension",
"content_security_policy": "default-src 'self' https://extension.resource.com"
"manifest_version": 2
}
実行可能 API を避ける
コードを実行する API は、より安全な代替 API に置き換える必要があります。
document.write() と innerHTML
document.write()
と innerHTML
を使用して HTML 要素を動的に作成する方が簡単な場合もありますが、拡張機能と拡張機能が依存するウェブページを残すため、攻撃者が悪意のあるスクリプトを挿入する可能性があります。代わりに、手動で DOM ノードを作成し、innerText
を使用して動的コンテンツを挿入します。
function constructDOM() {
let newTitle = document.createElement('h1');
newTitle.innerText = host;
document.appendChild(newTitle);
}
eval()
攻撃を防ぐため、可能な限り eval()
の使用は避けてください。eval()
は、渡されたすべてのコードを実行しますが、これは悪意のあるものとなる可能性があります。
var xhr = new XMLHttpRequest();
xhr.open("GET", "https://api.example.com/data.json", true);
xhr.onreadystatechange = function() {
if (xhr.readyState == 4) {
// WARNING! Might be evaluating an evil script!
var resp = eval("(" + xhr.responseText + ")");
...
}
}
xhr.send();
代わりに、JSON.parse()
などのより安全で高速なメソッドを使用してください。
var xhr = new XMLHttpRequest();
xhr.open("GET", "https://api.example.com/data.json", true);
xhr.onreadystatechange = function() {
if (xhr.readyState == 4) {
// JSON.parse does not evaluate the attacker's scripts.
var resp = JSON.parse(xhr.responseText);
}
}
xhr.send();
コンテンツ スクリプトは慎重に使用する
コンテンツ スクリプトは、孤立した世界で動作しますが、攻撃から免れるものではありません。
- コンテンツ スクリプトは、ウェブページと直接やり取りする拡張機能の唯一の部分です。このため、悪意のあるウェブページは、コンテンツ スクリプトが依存する DOM の一部を操作したり、名前付きアイテムなどのウェブの標準的な動作を悪用したりする可能性があります。
- ウェブページの DOM とやり取りするには、コンテンツ スクリプトをウェブページと同じレンダラ プロセスで実行する必要があります。このため、コンテンツ スクリプトがサイドチャネル攻撃(Spectre など)になりすまし、悪意のあるウェブページによってレンダラ プロセスが侵害されると、攻撃者に乗っ取られる可能性があります。
機密性の高い処理は、拡張機能のバックグラウンド スクリプトなどの専用のプロセスで実行する必要があります。拡張機能の権限をコンテンツ スクリプトに誤って公開しないようにする。
- コンテンツ スクリプトからのメッセージが攻撃者によって作成されていると仮定します(すべての入力を検証してサニタイズし、スクリプトをクロスサイト スクリプティングから保護します)。
- コンテンツ スクリプトに送信されたデータがウェブページに漏洩すると仮定します。機密データ(拡張機能のシークレット、他のウェブオリジンのデータ、閲覧履歴など)をコンテンツ スクリプトに送信しないでください。
- コンテンツ スクリプトによってトリガーされる特権アクションの範囲を制限します。コンテンツ スクリプトから任意の URL へのリクエストをトリガーすることや、任意の引数を拡張機能 API に渡さないでください(たとえば、任意の URL を
fetch
API やchrome.tabs.create
API に渡すことは許可されません)。
入力の登録とサニタイズを行う
拡張機能が想定している内容のみにリスナーを制限し、受信データの送信元を検証して、すべての入力をサニタイズすることで、悪意のあるスクリプトから拡張機能を保護します。
拡張機能は、外部のウェブサイトまたは拡張機能からの通信を想定している場合にのみ、runtime.onRequestExternal
に登録する必要があります。送信者が信頼できる送信元と一致することを常に検証してください。
// The ID of an external extension
const kFriendlyExtensionId = "iamafriendlyextensionhereisdatas";
chrome.runtime.onMessageExternal.addListener(
function(request, sender, sendResponse) {
if (sender.id === kFriendlyExtensionId)
doSomething();
});
拡張機能自体から runtime.onMessage イベント経由で送信されたメッセージも精査し、MessageSender がコンテンツ スクリプトの不正使用によるものでないことを確認する必要があります。
chrome.runtime.onMessage.addListener(function(request, sender, sendResponse) {
if (request.allowedAction)
console.log("This is an allowed action.");
});
ユーザー入力と受信データを(拡張機能自体や承認されたソースからでも)サニタイズすることで、拡張機能が攻撃者のスクリプトを実行できないようにします。実行可能な API を使用しない。
function sanitizeInput(input) {
return input.replace(/&/g, '&').replace(/</g, '<').replace(/"/g, '"');
}