コンテナ技術を用いたサービスごとに隔離された環境を持つWebブラウザ

全文

(1)コンピュータシステム・シンポジウム Computer System Symposium. ComSys2018 2018/11/30. コンテナ技術を用いたサービスごとに隔離された環境を持つ Web ブラウザ三村賢次郎1. 新城靖1. 張世申1. 概要：我々は日々 Web ブラウザで様々なサービスを利用し、様々な情報を送受信する。しかし、あるサービスで入手したデータを誤って別のサービスに送信する危険性がある。本研究では、利用するサービスごとに隔離された環境をもつ Web ブラウザを実装する。この Web ブラウザの特徴は、Web サービスごとに、環境が隔離され、ブラウジングに伴い環境が自動的に切り替わることである。これにより、ユーザはあるサービスで取得した情報を誤って別のサービスに送信することを防ぐ事ができる。これらの機能を実現するために本研究では、隔離された環境を Docker のコンテナとして実装し、各コンテナで Web ブラウザを実行する。そして、コンテナで動作している複数の Web ブラウザを協調動作させる。これにより、ユーザは複数のブラウザを 1 つのブラウザを使っているかのように扱うことができる。. 1. はじめに. 例えば、SNS の Like ボタンや共有ボタンは、一般的なサービスでは、サードパーティであるが、その本来のサービス. 現在さまざまなサービスが Web アプリケーションとし. のページはファーストパーティになる。サードパーティの. て実装され、Web ブラウザの用途は多様化している。ユー. 中には、ユーザが求めているデータを取得して表示するも. ザは、Web ブラウザで天気を調べたり、買い物をするため. のもあれば、広告の表示やユーザトラッキングを行ってい. に様々なページを閲覧したりする。更に、SNS を使ったコ. ることもある。. ミュニケーションや、ネットバンクを利用した資産管理や. このように、従来の Web ブラウザはユーザの意思に反し. 金融取引も行うことができる。Web ブラウザのプログラム. て個人情報や PC 内のファイルを発信する可能性がある。. は複雑であり、また日々新しい機能が追加される。. これを防ぐためにユーザは、サービスごとに異なる PC(仮. ユーザは、様々なサービスを利用する過程で、様々な. 想環境を含む) を用意し、サービスの境界を常に意識しな. ファイルを PC に保存する。保存したデータを加工して、. がら Web ブラウザを利用する方法がある。しかし、この. 再びサービスにアップロードすることもある。例えば、申. 方法ではユーザが誤って本来の PC とは別の PC でアクセ. 請書類のフォーマットをダウンロードして、そこに必要な. スしてしまうことが避けられない。また、複数の PC を使. データを入力し、再びアップロードする場合などが考えら. うことは利便性を大きく低下させる。. れる。さらに、電子メールのサービスを Web ブラウザで. 本研究では、Web サービスごとに隔離された環境を持つ. 利用している際に、メールに含まれているリンクにより他. Web ブラウザを実装する。この Web ブラウザを利用する. のサービスに誘導される場合もある。Web ページの中に. と、Web サービスごとに、自動的に環境が切り替わる。こ. は、フィッシングサイトのようにユーザの誤認を利用して. れにより、あるサービスで取得したファイルを誤って別の. 個人情報を不正に取得するものもある。. サービスに送信することを防ぐ事ができる。これらの機能. また、ユーザがあるサービスを利用する時、そのサービ. を実現するために本研究では、隔離された環境を Docker. ス以外の情報が表示されることがある。一般的に Web ブ. のコンテナとして実装し、各コンテナで Web ブラウザを実. ラウザの URL 欄に表示されるサーバやサービスのことを. 行する。そして、コンテナで動作している複数の Web ブ. ファーストパーティと呼び、それ以外のものをサードパー. ラウザを協調動作させる。これにより、ユーザは複数のブ. ティと呼ぶ。あるページでファーストパーティであるサー. ラウザを 1 つのブラウザを使っているかのように扱うこと. ビスが、他のページではサードパーティになる場合もある。. ができる。. 1. 筑波大学 University of Tsukuba. ⓒ 2018 Information Processing Society of Japan. 37.

(2) コンピュータシステム・シンポジウム Computer System Symposium. ComSys2018 2018/11/30. 仮想環境 (筑波大学) Webブラウザ. 2. 従来のサービスごとの分離技術. NG. 2.1 複数のプロファイルの利用複数の Web サービスの設定を分離する方法として、Web. 仮想環境( Google ) Webブラウザ. ブラウザのプロファイルを複数作る方法が挙げられる。サービスごとに、プロファイルを切り替えることで、Cookie や履歴といった情報を隔離することができる。この方法では、. Webサービスと仮想環境の対応表. プロファイルの切り替えをユーザが自ら行い、接続先を常. 仮想環境( Facebook ) Webブラウザ. に意識しながらプロファイルを使い分ける必要がある。しかし、この方法ではプロファイルの切り替えを間違えるといった問題がある。本研究のブラウザでは、Web サービスごとに、自動的に環境が切り替わるため、プロファイルの切り替えを間違え. 仮想環境(その他) Webブラウザ. ることはない。. 2.2 Mozilla Multi-Account Containers Mozilla Multi-Account Containers[1] は、履歴やログインといった情報をプロファイルとしてグループ化する Fire-. 許可されたサービス ( *://*.tsukuba.ac.jp ). 図 1. OK. 筑波大学. 許可されたサービス ( *://*.google.com ) NGNG OK OK. Google. 許可されたサービス ( *://*.facebook.com ) NG OK. Facebook. 許可されたサービス ( *://*.facebook.com ) OK NG. 隔離された環境で協調動作する Web ブラウザ間の自動的な切り替え. fox の拡張機能である。それぞれのプロファイルには、「このページを常にこのプロファイルで開く」機能があり、他のプロファイルで既に設定済みのページを開いた場合には自動的に対応するプロファイルが使われる。しかし、プロファイルごとにファイルが隔離されていないため、ユーザが誤って別のサービスに送信する可能性がある。また、プロファイルごとにサードパーティの制限を行えない。この機能を拡張し、Facebook によるトラッキングを困難にするために、Facebook のサードパーティの Cookie を削除する機能を付け加えた Facebook Container[2] が同じく Mozilla によって開発されている。この機能では、ファイルの隔離を行う事はできない。また、Facebook 以外のサードパーティの制限も行う事ができない。本研究のブラウザでは、Web サービスごとに自動的に環境が切り替わるため、あるサービスで取得した情報を誤って別のサービスに送信することを防ぐ事ができる。また、. Facebook に限らずにその他のサードパーティに対するアクセス制御も行う。. 2.3 Qubes-OS Qubes OS[3] は、使用目的別にアプリケーションを仮想環境上で実行することでセキュリティを高める OS である。この OS では、どのアプリケーションをどの仮想環境で実行するかをユーザがルールを記述することで、設定することができる。また、qubes-url-redirector[4] は、Qubes OS 上の Web ブラウザの拡張機能である。この拡張機能は、ユーザが定義したルールに従い、Web ページのアクセスをブロックしたり、他の仮想計算機で動作している Web ブラウザにリダ. ⓒ 2018 Information Processing Society of Japan. イレクトする。. Qubes OS が Xen の仮想計算機を用いて実装しているのに対して、本研究は Docker コンテナを用いて実装する。そのため、本研究で実装するブラウザを Docker の機能で簡単に導入することができる。また、qubes-url-redirector では、ファーストパーティに対するアクセス制御しか行えない。本研究では、ファーストパーティだけではなく、サードパーティに対するアクセス制御も行う。. 3. サービスごとに隔離された環境を持つ Web ブラウザの概要本研究では、複数の Web ブラウザを以下のような環境内で実行し、お互いに協調動作させることで、目的のブラウザを実装する (図 1)。. • Web サービスごとに仮想環境を用意する。仮想環境ごとにファイルシステムは独立している。. • 各環境ごとに、Web ブラウザを実行する。Web ブラウザは、独自のプロファイルを持つ。. • 仮想環境中の Web ブラウザでは、指定された Web サービスへの接続のみを許可する。. • もし、仮想環境中の Web ブラウザが許可されていないサービスへ接続を試みた場合には、それが許可されている環境で動作している Web ブラウザに自動的に引き継ぐ。環境をサービスごとに隔離することで、情報の発信の範囲を限定することが可能になる。具体的に、筑波大学の成績管理サービスを利用して成績ファイルを扱う場合を例に説明する。ユーザは成績ファイルのような機密性の高い. 38.

(3) コンピュータシステム・シンポジウム Computer System Symposium. ComSys2018 2018/11/30. ホストマシン. データを、筑波大学の外部へ発信されるのを防ぎたいと考える。成績管理サービスを利用して、履修の一覧や成績をファイルとしてダウンロードすると、一般に PC 上のファイルに保存される。この状態で他の Web サービスを利用した場合に、ユーザが誤って、これらのファイルが他の. Web サーバへ発信されてしまうことが考えられる。例えば、Google が提供するメールサービスである Google Mail(. Gmail ) を利用した場合に、操作誤って成績ファイルを電子メールの添付ファイルとして外部に送信してしまうこと. 制御プログラム HTTPリクエストのルーティング Webサービスとオリジンの対応表. 設定の変更インタラクティブな設定 (ブロックページ). Docker コンテナ Webブラウザ Webページ WebExtensions アクセス制御 Docker コンテナ Webブラウザ Webページ WebExtensions アクセス制御 Docker コンテナ Webブラウザ Webページ WebExtensions. が考えられる。. アクセス制御. 本研究で実現する Web ブラウザでは、Web サービスごとにファイルシステムは独立している。例えば、表 1 に示した Web サービスと環境の対応表の例でユーザは、1 つ目. 図 2 Web サービスごとに隔離された環境と協調動作する Web ブラウザの実装. の仮想環境で「筑波大学」のサービス (筑波大学のトップページや成績管理サービスなど) を利用する。2 つ目の仮想環境で、Gmail や Google 検索などの「Google」が提供す. から構成されるものと考える。. • メインコンテンツ: Web ブラウザの URL 欄に表示さ. るサービスを利用する。3 つ目の仮想環境で、「Facebook」. れる URL で得られる HTML。Web ページのトップ. が提供するサービスを利用する。4 つ目の仮想環境で、表. レベルの DOM( Document Object Model ) 木を構成. に該当しないサービスにアクセスした際に利用する。これ. する。. をデフォルトの環境と呼ぶ。このようにサービスごとに隔. • サブコンテンツ: メインコンテンツから追加で読み出. 離された環境を作成することで、筑波大学の成績管理サー. されるコンテンツ。インラインイメージやスタイル. ビスから成績ファイルをダウンロードした状態で、Google. シートを含む。. の検索サービスを利用したとしても、自動的に仮想環境と. サブコンテンツのオリジンの中には、メインコンテ. Web ブラウザが代わるため、ユーザの誤りによる筑波大学. ンツと異なるオリジンを持つことがある。例えば、筑波. 外部への成績ファイルの発信を防ぐことができる。. 大学のトップページ ( https://www.tsukuba.ac.jp ) で. 4. サービスごとに隔離された環境を持つ Web ブラウザの実装 4.1 Web サービス、オリジン、メインコンテンツ、サブコンテンツ. は、”https://www.google-analytics.com”がオリジンであるサブコンテンツが読み込まれる。また、メインコンテンツのオリジンのことをファーストパーティと呼ぶ。サブコンテンツのオリジンは、メインコンテンツと同一の場合と異なる場合がある。異なる場合、そのサブコンテンツの. 一般的な Web ページは様々なサービスが生成したデー. オリジンをサードパーティと呼ぶ。. タを複合して作られている。本研究では、Web サービスを. 本研究では、サービスをオリジンのリスト (パターン) で. オリジン (origin, 生成元) で定義する。オリジンは、URL. 表現する。例えば、表 1 に示した Web サービスと環境の. に現れるスキーム、ホスト名、および、ポート番号で定義. 対応表の例では、”*.tsukuba.ac.jp”という表現が使われ. される [5]。オリジンは、Web ブラウザのセキュリティ・. ている。これは、ホスト名として、”www.tsukuba.ac.jp”. モデルで重要な役割を果たす。例えば、同一オリジンポリ. や ”www.softlab.cs.tsukuba.ac.jp” を含む。本研究で. シー ( Same-Origin Policy ) とは、ある Web ページに含ま. 1 つの仮想環境は、複数のメインコンテンツのオリジンと. れている JavaScript のプログラムから、別の Web ページ. 関連付けられる。. のデータをアクセスしようとした場合、この 2 つのページのオリジンが同一であればアクセスが許可される。本研究では、1 つの Web ページが次の 2 つのコンテンツ. 4.2 全体の構成サービスごとに隔離された環境を持つ Web ブラウザは、図 2 に示したように、次のモジュールから構成される。. 表 1 Web サービスと環境の対応表の例 Web サービスの名前オリジン仮想環境 ID. • Docker コンテナ。隔離されたファイルシステムを提供する。. • Web ブラウザ Firefox。Docker コンテナ内で動作す. 筑波大学. *://*.tsukuba.ac.jp. 1. Google. *://*.google.com. 2. る。本研究で実装した拡張機能を含む。拡張機能は、. Facebook. *://*.facebook.com. 3. その環境でアクセスすることが許されたオリジンのリ. その他. default. 0. ストを持つ。. ⓒ 2018 Information Processing Society of Japan. 39.

(4) コンピュータシステム・シンポジウム Computer System Symposium. • 制御プログラム。Firefox を制御する。内部に、「Web サービスと環境の対応表」を持つ。. 4.3 Docker コンテナによる仮想環境の実装本研究では、Web サービスごとに隔離された環境を. Docker コンテナ [6] を用いて実装する。Docker コンテナは Linux 名前空間を利用して、独立したリソースを割り当てることができる。これにより、 Docker コンテナは、独立したファイル構成を持たせることができる。仮想計算機を実装する方法と比べて仮想環境を Docker コンテナを用いて実装する利点は、オーバヘッドが小さく、起動が速い点である。本研究では、Docker コンテナで Firefox を起動し、ホストの X11 ウィンドウ・システムを利用させる。具体的には、ホスト上の X11 の UNIX domain socket を Docker の機能でコンテナ内からアクセス可能にする。しかし、こ. ComSys2018 2018/11/30. def on_request_redirect( from_env, request_details ): 2 origin = get_origin( request_details[’url’] 1. ) 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19. env = find_env_by_origin( origin ) if env is None: if env_def_mode: response_message = { ’type’: ’goToBlockWindow’, ’reqestDetails’: request_details, ’nodeIds’: node_ids }. send(from_env , response_message ) return else: env = default_env request_message = { ’type’: ’redirect’, ’reqestDetails’: request_details }. send( env, request_message ). の状態で単純に複数の Docker コンテナを起動して複数の図 3. Firefox を起動した場合、Firefox が重複した起動を検知し. 制御プログラムの主要部分. て起動しない。そのため、Firefox にコンテナごとに別々のプロファイル名を用意して起動させる。また本研究では、ユーザの操作によって、動的に Docker コンテナを生成したり削除する。そのために、Docker En-. gine API の Python ライブラリ [7] を用いる。本研究では、このライブラリを利用して以下のメソッドを作成する。. • add container( profile name ): プロファイル名を指定. が含まれている行を得る。. ( 4 ) もし見つかれば、その仮想環境で動作している拡張機能に、(1) で受け取った情報を送信する。. ( 5 ) 見つからなければ、デフォルトの環境で動作している拡張機能に、(1) で受け取った情報を送信する。制御プログラムでこの動作を行うコードの主要部分を図. して新しくコンテナを作成し、起動する。返り値に仮. 3 に示す。このコードは、受け取った接続先情報の URL か. 想環境 ID を返す。. らオリジンを取得し、対応する環境を探す (2-3 行目)。対. • remove conatiner( env id ): 仮想環境 ID で表わされるコンテナを削除する。. • start container( env id): 仮想環境 ID で表わされるコンテナを起動する。. 応する環境がなく、かつ、環境定義モードであれば送信元の環境の拡張機能にブロックウィンドウの表示を要求する. (5-12 行目)。環境定義モードとブロックウィンドウに関しては、4.8 節で述べる。環境定義モードではない場合には、. add container メソッドでコンテナを立ち上げるとホス. デフォルトの環境を得る (14 行目)。対応する環境が存在. トの X11 ウィンドウに新しいブラウザのウィンドウが表示. すれば、その環境の拡張機能に対して接続先情報を送信す. される。ブラウザのウィンドウを閉じるとコンテナは停止. る (15-19 行目)。. することがある。その場合には、start container メソッドで立ち上げる。. 4.5 拡張機能におけるメインコンテンツに対するアクセス制御. 4.4 制御プログラム制御プログラムは、Docker コンテナで動作する複数の. 本研究で実装する Firefox の拡張機能は、内部にその仮想環境でアクセス可能なオリジンのリストを持っている。. Firefox を制御する。制御プログラムは、次のような動作. このリストは、「Web サービスと環境の対応表」のうち、そ. を行う。. の仮想環境でアクセスすることが許されたオリジンのリス. ( 1 ) 各 Firefox の拡張機能から、「接続先情報」を受け取る。. トである。この拡張機能は次のように、このリストを使っ. 接続先情報とは、その Firefox が開くことを許されて. てメインコンテンツに対するアクセス制御を行う。. いなかったため、アクセスを保留した Web サービス. ( 1 ) 拡張機能は、ユーザがアクセスする Web ページを監視. の情報であり、URL やリクエストの種類などから構. している。ユーザが新しいページを開こうとすると、. 成される。. 拡張機能は、それを捕捉する。. ( 2 ) 接続先情報からオリジンを得る。 ( 3 ) 「Web サービスと環境の対応表」を検索し、オリジン ⓒ 2018 Information Processing Society of Japan. ( 2 ) 新しいページのオリジンがアクセス可能なオリジンのリストに含まれていた場合、拡張機能は、そのままア. 40.

(5) コンピュータシステム・シンポジウム Computer System Symposium. クセスさせる。. ( 3 ) 含まれていなかった場合、拡張機能は、それをブロックし、その時得た接続先情報を制御プログラムに送信する。この拡張機能は、新しいページを開くことの検知に、. HTTP リクエスト中に含まれるリソースタイプを用いる。リソースタイプが main frame の場合、Web ブラウザはトップレベルの DOM 木を読み込む。このリクエストによって、得られるコンテンツがメインコンテンツである。サブコンテンツは、リソースタイプが main frame 以外の. ComSys2018 2018/11/30. function handleRequest( requestDetails ) { const requestOrigin = getOrigin( requestDetails.url ); 3 if( requestDetails.type === "main_frame" ){ 4 if( isMatchOrigin( requestOrigin, permittedOriginList ) ){ 5 return { cancel:false };. 1 2. 6 } 7 sendToController( requestDetails ); 8 return { cancel:true }; 9 } 10 } 11 }. HTTP リクエストによって得られるコンテンツである。サブコンテンツに対するアクセス制御については、4.7 節で. 図 4 拡張機能におけるメインコンテンツに対するアクセス制御を実現するコードの主要部分. 述べる。この拡張機能は、WebExtensions[8] の API である We-. bRequest API[9] を利用して、接続先情報の取得、およびアクセスのブロックを行う。本研究で実装する Firefox の拡張機能は、WebRequest API を通じて以下の接続先情報を受け取る。. • url: リクエストの対象となる URL。 • type: リクエストのリソースタイプ。image や script, main frame が入る。 • method: HTTP メソッド。GET や POST が入る。 • documentUrl: どの URL からそのリソースが読み込まれたか。. • originalUrl: リンクでページが遷移した場合に元のページの URL。. • tabId: リクエストしたタブの ID。. 1 2 3 4 5 6. function onRedirect( requestDetails ){ if( requestDetails.method == "GET") { browser.tabs.update({ url:requestDetails.detials.url. 7 8 9 }. }); } else if ( request.Details.method == "POST" ) { postData( requestDetails.detials.url, requestDetails.requestBody.formData ); }. 図 5. 拡張機能におけるページを開くコードの主要部分. 場合には、postData 関数を呼び出す (7 行目)。この関数では、一次的なページを作成し接続先情報から POST のフォームを再現し、それを使って Web ページを開く。. • requestBody: HTTP リクエストの Body を表す。 POST データを含む。. 4.7 サブコンテンツに対するアクセス制御. 本研究で実装する拡張機能において、メインコンテンツ. サブコンテンツのリクエストに関しては、解決すべき課. に対するアクセス制御を実装するコードの主要部分を図 4. 題がある。Web ページのサブコンテンツへのリクエストを. に示す。この拡張機能は、オリジンごとの接続可否情報を. すべて許可すると、意図しない情報の発信に繋がる可能性. permittedOriginList 変数で保持する。2 行目で、URL か. がある。反対に、すべてを禁止してしまうと画像やスタイ. らオリジンを取り出している。isMatchOrigin は、リクエ. ルシートが得られずに、Web ページの表示が乱れてしまう. ストされた URL のオリジンがこの拡張機能で定義されて. ことがある。. いるかどうかを調べている (4 行目)。もし定義されており、. そこで本研究では、サブコンテンツのリクエストに関し. 許可されていれば接続を続行する (5 行目)。許可されてい. ては、選択的に許可できるようにする。これは図 6 のよう. なければ、制御プログラムに接続先情報を送信し (7 行目)、. な、サイドバーで実装する。この図 6 の例では、筑波大学の. アクセスをブロックする (8 行目)。. トップページを構成するのに必須のサブコンテンツのオリジンを許可しており、それ以外のサブコンテンツは許可し. 4.6 拡張機能におけるページを開く処理本研究で実現する拡張機能は、制御プログラムから接続先情報を受け取ると、ページを開く。それを実装するコー. ていない。具体的には、オリジンが”www.tsukuba.ac.jp” であるものは許可し、”www.google-analytics.com” であるものは許可していない。. ドの主要部分を、図 5 に示す。この関数の引数は、制御プログラムから受け取った接続先情報である。HTTP のメソッドが GET の場合、この関数は WebExtensions API の. 4.8 Web サービスと環境の対応表のインタラクティブな編集. Tabs API の update 関数を使って対象となるタブの URL. 本研究では、Web サービスと環境の対応を簡単に編集. を更新することで、Web ページを開く (3-5 行目)。POST の. できるように、インタラクティブに設定する機能を実装. ⓒ 2018 Information Processing Society of Japan. 41.

(6) コンピュータシステム・シンポジウム Computer System Symposium. ComSys2018 2018/11/30. より確認する。次に、ユーザがある誤った使い方をしたとしても、このブラウザがその被害を防ぐことができることを示す。このブラウザは、同一環境内にとどまるような使い方では、ほとんどオーバヘッドがないが、別の環境に引き継ぐ場合、制御プログラムを介してブラウザ間の協調動作が行われるので、オーバヘッドがある。この章では、そのオーバヘッドが小さく、有用性があることを示す。最後に、現在の実装の制約を述べる。. 5.1 実験に用いたハードウェア、ソフトウェア、および、図 6 サブコンテンツに対するアクセス制御の様子. ネットワーク実験に用いたハードウェア、ソフトウェア、および、ネットワークを下記に記す。. • プロセッサ: Intel Core i7 3820 CPU @ 3.6GHz • メモリ: 16GB • ホスト OS: Ubuntu 16.04.3 LTS • ゲスト OS( Docker コンテナ ) : Ubuntu 16.04.3 LTS • ブラウザ: Firefox 62.0.3 • ネットワーク: ホストを筑波大学学内ネットワークに 1Gbps で接続。 • インターネット: 筑波大学ネットワークは、SINET 経由でインターネットに接続。. 図 7 ブロックウィンドウの例. 5.2 動作確認実装したサービスごとに隔離された環境を持つ Web ブ. する。この機能は、ブラウザの状態が環境作成モードであ. ラウザがきちんと動作することを確認する。まず、初期状. り、他の環境によって定義されていないサービスへアクセ. 態では Web サービスと環境の対応表はデフォルトの環境. スが発生したときに呼び出される。環境作成モードではな. だけが存在する。この実験では、次のことを行う。. いモードを通常モードと呼ぶ。また、この機能で呼び出さ. ( 1 ) 環境作成モードで「Google」の Web サービスを利用. れるウィンドウをブロックウィンドウと呼ぶ。ブロックウィンドウの例を図 7 に示す。ここでは、ユーザがアクセスしようとしているページの URL を表示する。ユーザは、次の 4 つのうち 1 つを選択できる。. • オリジンをこの環境のアクセスが許可されたオリジンのリストに追加しそのままアクセスする。. • オリジンを既存の環境のアクセスが許可されたオリジンのリストに追加して、その環境でそのページをアクセスする。. する仮想環境を作成する。. ( 2 ) 環境作成モードで「筑波大学」の Web サービスを利用する仮想環境を作成する。. ( 3 ) 環境作成モードで「Facebook」の Web サービスを利用する仮想環境を作成する。. ( 4 ) 通常モードでその仮想環境で許可されていないページをアクセスすると、自動的に許可された環境に切り替わる。実行結果を以下に示す。. • 新しい環境を作成し、その環境のアクセスが許可され. (1) 環境作成モードでアドレスバー. たオリジンのリストにそのオリジンを追加して、その. に”https://www.google.com/”と入力する。エ. 環境でそのページをアクセスする。. ンターキーを押し、ページを開こうとすると、ブロッ. • アクセスを拒否する (元のページに戻る). クウィンドウが現れる。ここで新しい環境 ( 「Google」. 元のページに戻る機能を実装するために、HTML5 の. の Web サービス ) を作成し、許可されたオリジンの. window.history.back メソッドを利用している。. 5. 実験と評価この章では、まず実装したサービスごとに隔離された環境を持つ Web ブラウザがきちんと動作することを実験に ⓒ 2018 Information Processing Society of Japan. リストに ”*://*.google.com”を追加してアクセスする (図 8)。. (2) 環境作成モードでアドレスバーに”https://www.tsukuba.ac.jp/”と入力する。エンターキーを押し、ページを開こうとすると、ブ. 42.

(7) コンピュータシステム・シンポジウム Computer System Symposium. ComSys2018 2018/11/30. ロックウィンドウが現れる。ここで新しい環境 (「筑波大学」の Web サービス) を作成し、許可されたオリジンのリストに、”*://*.tsukuba.ac.jp” を追加してアクセスする。. (3) 環境作成モードでアドレスバーに”https://ja-jp.facebook.com/”と. 入. 力. す. る。エンターキーを押し、ページを開こうとすると、ブロックウィンドウが現れる。ここで新しい環境 ( 「Facebook」の Web サービス ) を作成し、許可されたオリジンのリストに”*://*.facebook.com” を追加してアクセスする。. ( 4 ) 通常モードで「Google」の Web. サービス. を利用する仮想環境を操作する。ここで、”https://www.google.com”のページにある. 図 8 「Google」の Web サービスを利用するために仮想環境の作成. フォームに検索文字列として”筑波大学”を入力し、エンターキーを押す。次に、筑波大学のトップページ (. ”https://www.tsukuba.ac.jp/” ) のリンクが現れるのでそれをクリックする。すると、自動的に「筑波大学」の Web サービスを利用する仮想環境に切り替わり、そのページをアクセスする (図 9 左)。. ( 5 ) 「Google」の Web サービスを利用する仮想環境で、”https://www.google.com/”のページにあるフォームに検索文字列として、”筑波大学 facebook”を入力し、エンターキーを押す。. 図 9 自動的な環境の切り替えの様子. 次に、Facebook にある筑波大学のページ (. ”https://ja-jp.facebook.com/univ.tsukuba/” ). 付ファイルとして成績ファイルを送信する。本研究で実装し. のリンクが現れるのでそれをクリックする。すると、. た Web ブラウザは、5.2 節で述べたように、「筑波大学」のサー. 「Facebook」の Web サービスを利用する仮想環境でそのページをアクセスする (図 9 右)。. ビスを利用するための環境と「Google」のサービスを利用するための環境が定義されているものとする。成績管理シス. ( 6 ) 次に、Facebook にある筑波大学のページにある筑波. テムのオリジンは、”https://twins.tsukuba.ac.jp” で. 大学のトップページへのリンクをクリックする。する. ある。Gmail のオリジンは、”https://mail.google.com”. と、「筑波大学」の Web サービスを利用する仮想環境. である。これらはそれぞれ、「筑波大学」の Web サービス. 1 。でそのページが開く (図 9 ⃝). と「Google」の Web サービスのオリジンのパターンにマッ. ( 7 ) 筑波大学のトップページにある Facebook にある筑波大学のページのリンクをクリック。すると、自動的に「Facebook」の Web サービスを利用する仮想環境に切り替わり、そのページをアクセスする (図 9. 2 。 ⃝). チする。. • 通常の Firefox で、成績管理システムにアクセスし、成績ファイルをダウンロードすると、そのファイル (. SIR201820001.csv ) は、その PC の通常のディレクトリに保存される。次に、Gmail を利用しメールを作. 5.3 ユーザの誤用への対応実現したブラウザによってユーザがある誤った使い方を. 成し、添付ファイルを選択しようとすると、図 10 のように先程保存したファイルが選択できる。. したとしても、ブラウザその被害を防ぐことができること. • 本研究で実装した Web ブラウザで成績管理システムに. を確認する。3 章で述べた筑波大学の成績管理システムを. アクセスし、成績ファイルをダウンロードするとその. 例に、次の 2 つのブラウザを比較する。. ファイル ( SIR201820001.csv ) は、その仮想環境内. • 通常の Firefox。コンテナではなく、ホスト OS で実行する。. • 本研究で実装した Web ブラウザ。. のディレクトリに保存される。先ほどと同様に Gmail を利用し、メールを作成し、添付ファイルを選択しようとしても、図 11 のように、成績ファイルはない。. それぞれのブラウザで筑波大学の成績管理システムに接続. 通常の Firefox では、ユーザが筑波大学の成績管理シス. し、成績ファイルをダウンロードする。その後、Gmail の添. テムで保存したファイルを「Google」の Gmail で送信する. ⓒ 2018 Information Processing Society of Japan. 43.

(8) コンピュータシステム・シンポジウム Computer System Symposium. ComSys2018 2018/11/30. • ページの切替時 ( onCommitted ) • DOM 構築の終了時 ( onDOMContentLoaded ) • ページ表示の完了 ( onCompleted ) 今回は、この API を用いて、ページ移動の開始直前からページ表示が完了までの時間を測定した。この時間には. HTML のレンダリングの時間が含まれている。実験は、5.2 節で述べたように、「筑波大学」のサービスを利用するための環境と「Google」のサービスを利用するための環境が定義されている状態で行う。「Google」の Web サービスを利用する仮想環境で https://www.google.com のページにあるフォームに、検索文字列として”筑波大学” を入力し、エンターキーを押す。ここで現れる筑波大学のリンクをクリック*1 し、ページ移動の開始直前からページ表示が完了するまでの時間を測定する。実験は、次の 2 つ図 10 通常の Firefox による Gmail の添付ファイル選択の様子. のブラウザで行う。. • 本研究で実装した Web ブラウザ。 • 通常の Firefox。コンテナではなく、ホスト OS で実行する。実験では、キャッシュを有効にするために予めそれぞれ 5 回上記の操作を行った。その後、それぞれ 10 回ずつ測定しその平均を求めた。実験で用いた筑波大学のトップページは、次のようなコンテンツから構成される。. • ファーストパーティ (メインコンテンツとサブコンテンツを含む). – 筑波大学 ( *://www.tsukuba.ac.jp ) ∗ HTML 1 個。42KB。 ∗ スタイルシート 8 個。合計 18KB。 ∗ JavaScript 14 個。合計 82KB。図 11. 本研究で実装した Web ブラウザによる Gmail の添付ファイル選択の様子. ∗ 画像 318 個。合計 8900KB。 • サードパーティ – Google Analytics. 意図がないにもかかわらずユーザの誤りによって発信する. ( https://www.google-analytics.com ) ∗ JavaScript 1 個。17KB。. 可能性がある。しかし、本研究で実現したブラウザでは、. ∗ 画像 1 個。0.45KB。. 「筑波大学」のサービスと「Google」のサービスの環境を隔離することができるので、ユーザが操作を誤ったとして. 本研究で実装したブラウザでは、「筑波大学」のサービス. も、「筑波大学」の成績管理システムで保存したファイルを. を利用するための環境では、このサードパーティ ( Google. 「Google」の Gmail で発信することを防ぐことができる。. Analytics ) へのアクセスは拒否されている。結果を図 12 に示す。通常の Firefox では、約 3.1 秒であ. 5.4 性能. り、本研究で実装したブラウザは、約 3.3 秒となった。そ. 実現したブラウザでは、その環境で許可されていないオ. の差は、約 0.2 秒であった。このことから、本研究で実装. リジンによるアクセスが発生した場合に、別の環境に接続. した Web ブラウザは、性能上、十分有用であることがわ. を引き継ぐ。この節では、その引き継ぎに要する時間を測. かった。. 定する。測定には、WebExtensions API の webNavigation. API を用いる。これは、リンクをたどる操作に伴う新しい. 5.5 現在の実装の制約現在の実装では、各仮想環境ごとに Web ブラウザがウィ. ページの表示に関する API であり、次のイベントを取得できる。. • ページ移動の開始直前 ( onBeforeNavigate ) ⓒ 2018 Information Processing Society of Japan. *1. mousedown イベントによる JavaScript の実行を含む. 44.

(9) コンピュータシステム・シンポジウム Computer System Symposium. ComSys2018 2018/11/30. の研究 [11] では、Web ベースのシステムアプリケーション用のアクセス制御メカニズムである PowerGate を実装している。PowerGate は、ユーザが簡単にアクセス制御できる仕組みを提供する。これらの研究は Web ブラウザの拡張機能として実装されており、本研究と同様オリジンやドメインによるアクセス制御を行っている。本研究の特徴は、Web サービスごとに、環境が隔離され、ブラウジングに伴い環境が自動的に切り替わり、ユーザがあるサービスで取得した情報を誤って別のサービスに送信することを防図 12. 所要時間. ぐ点にある。また、これらの研究の仕組みを本研究のブラウザに組み込むことで、更に安全な Web ブラウザを実装. ンドウを開く。このことは、環境を意識して利用する場合. することができる。. には問題がないが、画面が狭いノート PC 等では、ウィン. uBlock Origin[12] は、Raymond Hill によって開発され. ドウではなくタブを利用したいという要求がある。タブを. コンテンツフィルタリングツールである。uBlock Origin. 利用可能にするためには、現在の Web ブラウザの実装を. では、ユーザは設定ページで、URL のパターンを利用した. 大きく変更し、サンドボックスの実装でコンテナを利用す. フィルタリングのルールを記述できる。また、ブロックさ. るようにする必要がある。. れているページにアクセスが試みられた場合には、ユーザ. 現在の実装では、複数の環境で X11 ウィンドウ・システ. はインタラクティブにルールの設定できる。しかし、Web. ムのサーバを共有しているので、そのクリップボードやセ. ブラウザで保存したファイルは隔離されていないため、ユー. レクション機能を通じて環境間で通信を行うことができる。. ザの誤りによっては他のサービスへ発信される可能性があ. 例えば、ある環境でコピーしたデータを別の環境でペース. る。本研究では、Web サービスごとに、環境が隔離され、. トできる。その結果、環境間の隔離が失われてしまう。こ. ブラウジングに伴い環境が自動的に切り替わるため、ユー. の問題を解決するたには、Xnest や Xephyr 等のネストす. ザがあるサービスで取得した情報を誤って別のサービスに. るウィンドウ・システムを用いて、環境間の通信を遮断す. 送信することを防ぐ事ができる。. ればよい。ただし、ネストするウィンドウ・システムを用いると、性能が低下し、また、ウィンドウの配置でも制約. 7. まとめと今後の予定. が生じる。本研究では当初 Xephyr を利用していたが、そ. この論文では、Web サービスごとに隔離された環境を持. れらの制約をさけるために、現在では 4.3 節で述べたよう. つブラウザについて述べた。このブラウザでは、ユーザの. に、ホストの X11 ウィンドウ・システムを共有する方法. 誤りによって生じる情報の発信の範囲を Web サービスに対. を用いている。クリップボードやセレクション機能のみを. 応する仮想環境内の情報に限定する。本研究では、このブ. 禁止するような、軽量なネストしたウィンドウ・システム. ラウザを複数の環境で協調動作する Web ブラウザの集ま. が求められる。. りとして実装した。本研究では、隔離された環境を Docker. 現在の実装では、環境をまたいで Web ブラウザの「戻. コンテナで実装した。実装した Web ブラウザでは、ユー. る」ボタンが動作しない。履歴やブックマークも環境ごと. ザがブラウジングしていると、Web サービスに応じて環境. に分割されている。これは、最初から環境を定義してサー. が自動的に切り替わる。Web サービスの識別にはオリジン. ビスを利用するのであれば問題はない。しかし、新たに環. を使い、Web サービスと環境の対応表を用いて管理してい. 境を定義し特定の Web サービスを利用し始めたとしても、. る。本研究の特徴は、ページのメインコンテンツだけでは. 別の環境に保存されている、その Web サービスの履歴や. なく、サブコンテンツに対するアクセス制御も行う点にあ. ブックマークは新たな環境では利用できない。. る。実験より、提案した機能が動作することを確認した。. 現在の実装では、ユーザがもし本当に複数の環境間で. 現在の実装では、異なるサービス間でのページ切り替えの. ファイルを共有したいと考えた場合、scp 等のコマンドで. オーバヘッドは、約 0.2 秒であった。このことから、現在. コンテナ間でファイルをコピーする必要がある。. の実装には、性能上の有用性があることが確認された。. 6. 関連研究. 現在は、Web サービスと環境の対応表をブロックウィンドウからのみ編集が可能である。今後、すべての環境を一. Web ブラウザをより安全なものにする研究や拡張機能. 度に管理できる機能を実装したいと考えている。また、複. の開発は盛んに行われている。Peter Snyder らの研究 [10]. 数のブラウザを使っているため、戻るボタンの動作や履歴. では、Web ブラウザを操作する Web API へのアクセスを. の管理が従来の Web ブラウザと異なるものになっている。. Web サイトごとに選択可能にしている。また、Martin ら. 今後は、それらをより使いやすいものにしたい。. ⓒ 2018 Information Processing Society of Japan. 45.

(10) コンピュータシステム・シンポジウム Computer System Symposium. ComSys2018 2018/11/30. 参考文献 [1]. Mozilla Multi-Account Containers — Firefox : https://support.mozilla.org/ja/kb/containers, Accessed: 2018-10-23. [2] Facebook Container - Get this Extension for Firefox: https://addons.mozilla.org/ja/firefox/addon/facebookcontainer, Accessed: 2018-10-23. [3] Qubes OS architecture: http://qubes-os.org, Accessed: 2018-10-23. [4] Raffaele Florio. qubes-url-redirector: https://github.com/raffaeleflorio/qubes-url-redirector, Accessed: 2018-10-23. [5] RFC 6454 The Web Origin Concept: https://tools.ietf.org/html/rfc6454,Accessed: 2018-10-31. [6] Docker - Build, Ship, and Run Any App, Anywhere: https://www.docker.com/, Accessed: 2018-10-23. [7] Docker SDK for Python: https://pypi.org/project/docker/, Accessed: 2018-10-23. [8] WebExtensions JavaScript APIs — MDN: https://developer.mozilla.org/en-US/docs/Mozilla/Addons/WebExtensions/API, Accessed: 2018-10-23. [9] WebExtensions WebRequest APIs - Mozilla — MDN: https://developer.mozilla.org/en-US/Addons/WebExtensions/API/webRequest, Accessed: 2017-10-18. [10] Peter Snyder, Cynthia Taylor, and Chris Kanich. Most Websites Don’t Need to Vibrate: A Cost-Benefit Approach to Improving Browser Security. ACM SIGSAC Conference on Computer and Communications Security (CCS ’17), pp. 179-194 (2017). [11] Martin Georgiev, Suman Jana, and Vitaly Shmatikov. Rethinking Security of Web-Based System Applications. In Proceedings of the 24th International Conference on World Wide Web (WWW ’15), pp. 366-376 (2015). [12] Raymond Hill. uBlock Origin - An efficient blocker for Chromium and Firefox. Fast and lean.: https://github.com/gorhill/uBlock, Accessed: 2018-1023.. ⓒ 2018 Information Processing Society of Japan. 46.

(11)