第3回 Windows XP SP2でIEはどう変わった?


他力本願堂本舗
杉谷智宏
2004/12/15



 Internet Explorerにおける
 セキュリティレベルの詳細設定

 IEのセキュリティレベルは、「インターネット」「イントラネット」「信頼済みサイト」「制限付きサイト」という4つのゾーンごとに設定できる。実際にはこのほかにローカルコンピュータゾーンがあるが、これはIEの設定画面からは変更ができないセキュリティゾーンのため、ここでは触れないでおく。

 さて、取りあえずはIEの設定の詳細を見てみよう。設定画面は、IEのメニューから「ツール」→「オプション」とたどってインターネットオプションのダイアログを開き、「セキュリティ」タブを選択してから「レベルのカスタマイズ」をクリックすると現れる設定リストを、SP1環境・SP2環境の双方について収集した。

 まず初めに、SP2環境に「ActiveXコントロールに対して自動的にダイアログを表示」という項目があることに気付く。これは新たに追加されたActiveXコントロールの動作設定だ。ダイアログの表示を許可することによって、ActiveXコントロールに関連したダイアログボックスがブロックされなくなる。一部のコンテンツを閲覧する際には、この設定を行ってダイアログを許可しなければならないことがあるので注意したい。

IE SP1 IE SP2
ActiveXコントロールとプラグイン
ActiveXコントロールとプラグインの実行 ActiveXコントロールとプラグインの実行
  ダイアログを表示する   ダイアログを表示する
  管理者の許可済み   管理者の許可済み
  無効にする   無効にする
有効にする
有効にする
    ActiveXコントロールに対して自動的にダイアログを表示
      無効にする
 
有効にする
スクリプトを実行しても安全だとマークされていないActiveXコントロールの初期化とスクリプトの実行 スクリプトを実行しても安全だとマークされていないActiveXコントロールの初期化とスクリプトの実行
  ダイアログを表示する   ダイアログを表示する
無効にする
無効にする
  有効にする   有効にする
スクリプトを実行しても安全だとマークされているActiveXコントロールのスクリプトの実行 スクリプトを実行しても安全だとマークされているActiveXコントロールのスクリプトの実行
  ダイアログを表示する   ダイアログを表示する
  無効にする   無効にする
有効にする
有効にする
  バイナリビヘイビアとスクリプトビヘイビア
      管理者の許可済み
      無効にする
 
有効にする
署名済みActiveXコントロールのダウンロード 署名済みActiveXコントロールのダウンロード
ダイアログを表示する
ダイアログを表示する
  無効にする   無効にする
有効にする
有効にする
未署名のActiveXコントロールのダウンロード 未署名のActiveXコントロールのダウンロード
  ダイアログを表示する   ダイアログを表示する
無効にする
無効にする
有効にする
有効にする

 同様にセキュリティ上の改善につながる設定と思われるものを見てみよう。大きなものは、「Internet Explorer Webbrowserコントロールのスクリプト許可」だ。Webbrowserコントロールは、Windowsに(というよりIEに)標準的に含まれているコントロールで、プログラマがIEの機能に簡単にアクセスできるようになっている。

 ただし、この機能はWebブラウザとしての基本機能を提供するのみで、IEのすべてをコントロールするわけではない。ブラウジングに関連する、いわばバックグラウンドの機能を提供するのみだ。しかし、ActiveXコントロールとなっていることに加えて、IEで利用できるVBScriptがActiveXコントロールを利用できる構造となっているため、これまでに何度も大きなセキュリティホールを生み出してきた。ここではその詳細は述べないが、セキュリティゾーンの迂回(うかい)が主なものだったと記憶している。

 また、IEの内部でさらにWebブラウザを構築する必要はほとんどないのではないだろうか。これらを総合して、新たに「Internet Explorer Webbrowserコントロールのスクリプト許可」という設定項目を設けたということではないだろうか。なお、「Internet Explorer Webbrowserコントロールのスクリプト許可」は、標準では無効になっている。

 このほかには、ポップアップブロック関連の設定項目がいくつか増えている。「サイズや位置の制限なしにスクリプトでウィンドウを開くことを許可する」および「ポップアップブロックの使用」の2つだ。

 サイズや位置の制限なしにスクリプトでウィンドウを開くことを許可すると、新しいウィンドウを作る際に位置とサイズの制限を受けずに表示できるようになる。標準では無効に設定されていて、そのまま利用していればウィンドウが画面外に表示されるようなことはない。そのため、怪しいウィンドウが開かれるようなコードが含まれたページを閲覧した場合にユーザーが気付くことができるようになる。

 総合的に見て、SP2環境下のIEは大きな変更としてさまざまな制限を行うことが可能となっている。同時に、初期設定では制限された状態(セキュリティが高い状態)になっているため、SP2の導入によってIEの設定は安全側にシフトされる。

IE SP2
その他
  IFRAMEのプログラムとファイルの起動
  ダイアログを表示する
    無効にする
    有効にする
NEW Internet Explorer Webbrowserコントロールのスクリプト許可
  無効にする
    有効にする
  UserDataの常設
    無効にする
  有効にする
NEW  Webページが、制限されたプロトコルをアクティブコンテンツに利用する
  ダイアログを表示する
    無効にする
    有効にする
NEW  サイズや位置の制限なしにスクリプトでウィンドウを開くことを許可する
  無効にする
    有効にする
  ソフトウェアチャンネルのアクセス許可
    安全性−高
  安全性−中
    安全性−低
  デスクトップ項目のインストール
  ダイアログを表示する
    無効にする
    有効にする
  ドメイン間でのデータソースのアクセス
    ダイアログを表示する
  無効にする
    有効にする
  ファイルのドラッグ/ドロップ、またはコピー/貼り付け
    ダイアログを表示する
    無効にする
  有効にする
  ページの自動読み込み
    無効にする
  有効にする
NEW  ポップアップブロックの使用
    無効にする
  有効にする
NEW  より権限の少ないWebコンテンツゾーンのWebサイトがこのゾーンに移動できる
    ダイアログを表示する
    無効にする
  有効にする
  暗号化されていないフォームデータの送信
    ダイアログを表示する
    無効にする
  有効にする
  異なるドメイン間のサブフレームの移動
    ダイアログを表示する
    無効にする
  有効にする
NEW  拡張子ではなく、内容によってファイルを開くこと
    無効にする
  有効にする
  既存クライアント証明書が1つ、または存在しない場合の証明書の選択
  無効にする
    有効にする
  混在したコンテンツを表示する
  ダイアログを表示する
    無効にする
    有効にする

2/3


Index
Windows XP SP2でIEはどう変わった?
  Page1
Windows XP SP2の標準クライアント
Internet Explorerの変更点
Internet Explorerの詳細設定機能
  Page2
Internet Explorerにおけるセキュリティレベルの詳細設定
  Page3
そのほかの変更
Outlook Expressの変更
設定変更をユーザーに呼び掛ける配信者のモラル


関連記事
クライアントセキュリティチャンネル
管理者のためのウイルス対策の基礎
ネットワーク管理者のためのWindows XP SP2レビュー(後編)(Windows Server Insider)
ノートPCからの情報漏えいを防ぐ便利グッズ (System Insider)

Security&Trust記事一覧


Security&Trust フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Security & Trust 記事ランキング

本日 月間