chrome特権を持つコードでのwindow.eval()の危険性について

JSON文字列からオブジェクトを得る方法として、多くの例としてeval()でJSON文字列を評価するという方法が使用される。この方法はお手軽である反面、セキュリティ的なリスクが存在する。なぜなら、evalで評価される文字列はそのままJavascriptの命令として実行されるから。

もしJSON文字列に悪意のあるコードを紛れ込ませることが出来た場合に、攻撃者は用意に訪問者への攻撃を仕掛けることができてしまう。これが、コンテンツ内のJavascriptでの話であってもcookieが盗まれるとか、そこからセッションハイジャックされたり、といったように攻撃者側にある程度の知識があれば結構怖いことができてしまう。（具体的な攻撃については実はよく知らない、自分の想像が入っている）

今回の場合、さらに悪い点として、chrome特権を持つコンテキストでevalを行っていること。これによりevalされたコードもchrome特権で実行されることになり、ローカルのリソースに容易にアクセスできることとなり、最悪、重要なファイルが盗まれたり、消されたりという攻撃が比較的簡単に行えてしまう状況になっていた。

それを実証したものとして、サイト側のコンテンツのjavascriptコードからそれを参照しているローカルPCのメモ帳を起動するということもできたりする。それを試せるのが以下のサイト（※最新のGNTP/Growlアドオンでは対処済みのため、起動は行えなくなってる）
http://www.paw.hi-ho.ne.jp/makochi/growl.html

じゃあJSONをどう扱ったらいいのか？

以下の方法があるらしい

• JSON.jsm の JSON.fromString メソッドを使う （Firefox3.0.x系の場合）
• Firefox3.5以降では JSONオブジェクトがネイティブサポートされるのでそのメソッド JSON.parse を使用する。
• 上記以外のJSONを扱うjavascriptライブラリを使用する。
• Components.utils.evalInSandbox を使って評価する

上記の中から、とりわけ現状のFirefoxバージョンにおける対応として最善とおもわれるJSON.jsmを使用する方法について調べてみた。

JSON.jsmについて

Javascript で JSONフォーマットを簡単／安全に扱うためのUtilityが格納されているJavascript module。Firefox3.0系で使用可能。

//インポートする
 Component.utils.import("resource://gre/modules/JSON.jsm");
//オブジェクトからJSON文字列を得る
 var jsonString = JSON.toString( hoge );
//JSON文字列からオブジェクトを得る
 var parsedObj  = JSON.fromString( " { hoge : 'fuga' } " );

if (typeof JSON == "undefined"){ 
    Components.utils.import("resource://gre/modules/JSON.jsm");
    JSON.parse = JSON.fromString;
    JSON.stringfy = JSON.toString;
}

ToDo

id:Constellationのコメントにあった以下の点についてもあとで調べてエントリ書くつもり。

• addEventListenerメソッドの第４引数について
• GMContextへのメソッドの追加

追記:2009.6.18 evalInSandboxについて

id:teramakoからコメントがあったように、上記以外に Components.utils.evalInSandbox メソッドを使用する方法もある。
evalInSandboxについてはまだちゃんと調べきれてないので簡単に補足してみると、
window.evalより安全なevalという感じ。ただしこれも使い方を間違えるとセキュリティリスクに晒される場合があるので、evalInSandboxをつかってるから全面的に大丈夫ってわけでもないので、その点には注意が必要っぽい。
あとでちゃんと調べたら、エントリとしてとりあげるかも知れない。

id:teramako++