iモードブラウザ2.0のセキュリティ対策はなんだったのか

docomo

javascript

iモードブラウザ2.0の脆弱性とその対策が一般的なニュースやDoCoMoのリリースでは良く分かりませんでしたが、無効化されているメソッドをまとめているさいとがあったので、その全容が僕にもやっと理解できるようになってきました。

iモードブラウザ2.0のJavaScript mpw.jp管理人のBlog

XMLHttpRequestオブジェクトのsetRequestHeaderメソッドの無効化
X-DCMGUID、Host、User-Agent、Referrerなど、偽装されるとiモードのチープなセキュリティモデルを根幹から崩してしまうものだけを無効化するのではなく、setRequestHeaderメソッド自体が無効化され、JavaScriptからは全くヘッダを付加＆変更することが出来ないように変更されているようです。

alertメソッドの無効化
alertメソッドが無効化されていました。
alertメソッドがXSS脆弱性有無のプローブとして真っ先に使用されているからだと推測しています。
（当方のサンプリング調査の結果では、携帯サイトの約1/4にXSS脆弱性があると推計されます。）

やはり、ヘッダ偽装関連だったようです。個人的にsetRequestHeader()は使ったことがなかったのでノーマークでした。それにしてもalert()を使えないようにするなんてとっても姑息な感じがしますね。そもそも対策の内容が酷いとか騒ぎたいというのはありますが、そもそもDoCoMoがちゃんと脆弱性情報をディスクロージャーしないのかというのが今回の最大の問題ですね。脆弱性なんてこの件に限らずぼろぼろとでてくると思うんですが、毎回こんな感じだと先が思いやられます。

† 2009/11/20追記

他にも制限があるらしいので、メモ。

P-07AでもJavaScriptが再開され、あらたな制限がみつかった - ockeghem(徳丸浩)の日記