Chrome for iOSをキッカケに考えたブラウザのセキュリティ

Googleからモバイル版ChromeがAndroidとiOS向けにリリースされたばかりですが、さすがGoogleのブランド力というべきでしょう。あっという間に世界各国のAppStoreでランキング1位の人気ぶりです。Chromeに限りませんがiPhoneにおけるWebブラウザアプリのセキュリティについていろいろ気になって調べてみました。

Chrome 25.0.1364.124
ユーティリティ
App Storeで詳細を見る

ブラウザアプリで開き直すブックマークレットの注意点

気になったのはSafariで開いているページをブラウザアプリで開き直すブックマークレット。JavaScriptの作り方によってはSSL通信で暗号化すべきhttpsで開いているページをhttpで開いてしまいます。なかにはSafariでhttpsで開いているにもかかわらずhttpで開き直してしまうブックマークレットがあるようです。

Safari（左）で開いたhttps://www.google.co.jpをブックマークレットで開きなおしたChrome（右）には鍵マークがない

Safariでhttpsとして開いているサイトはChromeで開いた場合でもhttpsで開くブックマークレットであるべきで、Chromeなら以下のようにアドレスバーに鍵のアイコンとhttpsが表示されます。もしその類いのブックマークレットを使用されている方は念のため確認されることをお勧めします。

接続するサイトによってはSSL通信のためhttpsへリダイレクトしてくれるサイトもありますが、そういうサイトばかりではありませんので要注意。ちなみに、拙ブログで紹介したブックマークレットやMyScriptsスクリプトは開いている元サイトにあわせてSSL通信するURLスキームを渡しているので問題ありません（対応していない場合は渡せずに終了）。

そもそもブラウザアプリは安全か

ちょっと別の視点で。Chrome for iOSは体感で読み込みが早い気がしますが、実際はそうでもないようです。

• iOS版Chrome リリースに見るiOSプラットフォームの制約 – naoyaのはてなダイアリー
• Chrome for iOSのJSエンジンはJITなしのJavaScriptCore – Islands in the byte stream
• 【ブックマークレット使用不可】MobileSafari 対 Chrome for iOSのJavaScriptベンチマーク【辛い】 | ひとりぶろぐ
• iOS版Google Chromeを使ってみた。Android版と同じ。ただ遅いだけ

サードパーティ・アプリの限界でしょうか。独自のレンダリングエンジンやJSエンジンは認められていないようなのでUIWebViewを使わざるを得ないと。で、UIWebViewが安全なのかという三段論法なのですが・・・ここで高木先生のエントリに行き当たりました。

高木浩光＠自宅の日記 – はてブiPhoneアプリでログインしてはいけない

少なくとも、URLが確認できない、SSL通信が確認できない状態でIDやパスワード、個人情報は入力することは避けた方が良さそうです。「危険」ではなく「安全かどうか確認できない」ためです。穿った見方をすれば、アプリによってはURLや鍵アイコンを偽装する不届き者もいるかもしれませんから。

Safariとサードパーティ製をうまく使い分ける

とはいえ、サードパーティ製のブラウザアプリはFirefoxのブックマークと同期できるもの、Flashを再生できるアプリ、広告ブロッカーを実装していたり、ブックマーク登録時にURLも編集可能なブラウザ、等など便利な機能を兼ね備え、Safariの不便さを解消してくれる特長あるブラウザアプリが多くあります。

要はサードパーティ・ベンダーの信頼性に依存するしかなさそう。たとえばトレンドマイクロからブラウザアプリがリリースされていますが、「トレンドマイクロやGoogleならさすがに」という具合です。供給元を自分で見極めるしかないのでしょう。自分の場合は、今後は銀行等のような金融機関のオンラインサービスやIDやパスワードの入力を求めるようなサイトは必ずSafariを使い、重要情報でなければそれほど気にせずに使ってもいいかなと考えています。

（と言ってもSafariだって鍵マークは確認できても証明書の中身まで確認することは出来ないんですよね・・・）

Smart Surfing 1.0.1.1140
ユーティリティ, 仕事効率化
App Storeで詳細を見る

その他基本的なことですが、知らない人からのメールや、TwitterやFacebookのダイレクトメッセージ、返信に付いているURLは絶対クリックしない。また、なりすましの可能性もあるので普段と様子が異なるような内容であれば、一度確認するなどの対策が必要です。面倒ですがあやしいURLは安全性を調べてからアクセスするなどの方法もあります。

iPhoneでURLをコピーするだけで安全かどうかをスキャンして結果を表示するスクリプト

個人情報やパスワード等の機密情報の「出入口」としてのブラウザ”Safari”の役割は非常に重要であり、ユーザに対してよりセキュアな環境を提供したいAppleとしてはブラウザアプリを標準ブラウザに設定できるようなことはさせたくないのかなとか思ったり。まとまりませんが、Chromeで開き直すブックマークレットからいろいろと考えるキッカケになりました。