1. 情報セキュリティブログ ホーム
  2. セキュリティニュース
  3. Gmailが「Content Security Policy」(CSP)をサポート

Gmailが「Content Security Policy」(CSP)をサポート

Gmailが「Content Security Policy」(CSP)をサポート米グーグル社は、12月16日、デスクトップ版「Gmail」のセキュリティ向上策として、「Content Security Policy」(CSP)をサポートしたと発表した。

同社によると、Gmail向けには様々な機能拡張が公開されているが、この中の一部には、悪意のあるプラグインやユーザーの受信ボックス内のデータを侵害するようなマルウェアも存在しているという。

CSPは、信頼できるコード等の要素をサーバー側で指定する仕組みだ。CSPに対応したサイトは、サーバーから送られる信頼情報(ブラックリスト/ホワイトリスト)に基づき、ページに記載されているコードを実行するかどうかを判断する。これにより、不正なコードを読み込むことを防ぎ、XSSをはじめとする攻撃を阻止する効果が期待される。

同社によると、人気のある(悪い動作をしない)Gmail向け拡張機能の大半は、すでにCSPに準拠して動作するようアップデートが完了しているという。ユーザーが利用する機能拡張で動作に問題が生じる場合は、最新バージョンにアップデートするよう推奨している。

CSPはGoogle Chromeや、Mozilla Firefox、Safariといった主要ブラウザーの最新版でサポートされている。

・(英文)CSP対応を報じるグーグル社のブログ
Google、Gmailで新しいセキュリティ仕様に対応(ITmedia)
「Gmail」、「Content Security Policy」のサポートでセキュリティ向上(CNET Japan)

関連キーワード:

Gmail

XSS

マルウェア

機能拡張

  • OTR(Off-the-Record Messaging)とは
  • カテゴリートップへ
  • NTPDに悪用可能な脆弱性(CVE-2014-9295)が確認される