セキュリティの確保

拡張機能はブラウザ内の特別な権限にアクセスできるため、攻撃者の魅力的なターゲットになります。拡張機能が不正使用された場合、その拡張機能のすべてのユーザーが悪意のある侵入や望ましくない侵入に対して脆弱になります。以下の方法を組み込むことで、拡張機能の安全性を確保し、ユーザーを保護します。

デベロッパー アカウントを保護する

拡張機能のコードは Google アカウントを介してアップロードおよび更新されます。デベロッパーのアカウントが不正使用された場合、攻撃者は悪意のあるコードをすべてのユーザーに直接プッシュできます。これらのアカウントを保護するには、2 要素認証を有効にします(可能であればセキュリティ キーを使用)。

グループの選択性を維持する

グループ公開を使用する場合は、信頼できるデベロッパーに限定してください。不明な人物からのメンバーシップ リクエストは承認しないでください。

HTTP は使用しない

データをリクエストまたは送信する際は、HTTP 接続を使用しないでください。すべての HTTP 接続に盗聴者が存在するか、変更が含まれていることを前提とします。HTTPS には、ほとんどの中間者攻撃を回避するセキュリティが組み込まれているため、常に HTTPS を使用することをおすすめします。

最小限の権限をリクエストする

Chrome ブラウザでは、manifestで明示的にリクエストされた権限への拡張機能のアクセスが制限されます。拡張機能は、依存する API とウェブサイトのみを登録することで、権限を最小限に抑える必要があります。

拡張機能の権限を制限すると、攻撃者が悪用できる範囲が制限されます。

クロスオリジン fetch()

拡張機能は、fetch()XMLHttpRequest() を使用して、拡張機能と権限で指定されたドメインからのみリソースを取得できます。どちらの呼び出しも、サービス ワーカーのフェッチ ハンドラによってインターセプトされます。

{
  "name": "Very Secure Extension",
  "version": "1.0",
  "description": "Example of a Secure Extension",
  "host_permissions": [
    "https://developer.chrome.com/*",
    "https://*.google.com/*"
  ],
  "manifest_version": 3
}

上のサンプルの拡張機能は、権限に "https://developer.chrome.com/*""https://*.google.com/*" を指定することで、developer.chrome.com と Google のサブドメイン上のすべてのコンテンツへのアクセスをリクエストします。拡張機能が不正使用された場合でも、一致パターンに一致するウェブサイトとのやり取りのみが許可されます。攻撃者は "https://user_bank_info.com" にアクセスしたり、"https://malicious_website.com" を操作したりする能力が制限されます。

マニフェスト フィールドを制限する

マニフェストに不要なキーと権限を含めると、脆弱性が生じ、拡張機能がより目立つようになります。マニフェスト フィールドを、拡張機能が依存するフィールドに制限します。

外部から接続可能

"externally_connectable" フィールドを使用して、拡張機能が情報交換を行う外部拡張機能とウェブページを宣言します。拡張機能が外部で接続できる信頼できるソースを制限します。

{
  "name": "Super Safe Extension",
  "externally_connectable": {
    "ids": [
      "iamafriendlyextensionhereisdatas"
    ],
    "matches": [
      "https://developer.chrome.com/*",
      "https://*.google.com/*"
    ],
    "accepts_tls_channel_id": false
  },
  ...
}

ウェブでアクセス可能なリソース

"web_accessible_resources" でリソースをウェブからアクセス可能にすると、ウェブサイトと攻撃者によって拡張機能が検出可能になります。

{
  ...
  "web_accessible_resources": [
    {
      "resources": [ "test1.png", "test2.png" ],
      "matches": [ "https://web-accessible-resources-1.glitch.me/*" ]
    }
  ]
  ...
}

ウェブからアクセス可能なリソースが多いほど、攻撃者が悪用できる手段が増えます。これらのファイルは最小限に抑えてください。

明示的なコンテンツ セキュリティ ポリシーを含める

クロスサイト スクリプティング攻撃を防ぐため、マニフェストに拡張機能のコンテンツ セキュリティ ポリシーを含めます。拡張機能が自身からのみリソースを読み込む場合は、以下を登録します。

{
  "name": "Very Secure Extension",
  "version": "1.0",
  "description": "Example of a Secure Extension",
   "content_security_policy": {
    "extension_pages": "default-src 'self'"
  },
  "manifest_version": 3
}

拡張機能でウェブ アセンブリを使用する必要がある場合や、サンドボックス化されたページの制限を強化する必要がある場合は、以下のように追加できます。

{
  "name": "Very Secure Extension",
  "version": "1.0",
  "description": "Example of a Secure Extension",
   "content_security_policy": {
    "extension_pages": "script-src 'self' 'wasm-unsafe-eval'; object-src 'self';",
    "sandboxed_pages":"script-src 'self' 'wasm-unsafe-eval'; object-src 'self';"
  },

  "manifest_version": 3
}

document.write() と innerHTML は使用しないでください

document.write()innerHTML を使用して HTML 要素を動的に作成する方が簡単ですが、拡張機能と拡張機能が依存するウェブページが、攻撃者が悪意のあるスクリプトを挿入するリスクにさらされます。代わりに、DOM ノードを手動で作成し、innerText を使用して動的コンテンツを挿入します。

function constructDOM() {
  let newTitle = document.createElement('h1');
  newTitle.innerText = host;
  document.appendChild(newTitle);
}

コンテンツ スクリプトは慎重に使用する

コンテンツ スクリプト分離された環境で動作しますが、攻撃を受けないわけではありません。

  • コンテンツ スクリプトは、拡張機能の中でウェブページと直接やり取りする唯一の部分です。このため、悪意のあるウェブページは、コンテンツ スクリプトが依存する DOM の一部を操作したり、名前付きアイテムなどのウェブ標準の予期しない動作を悪用したりする可能性があります。
  • ウェブページの DOM を操作するには、コンテンツ スクリプトをウェブページと同じレンダラ プロセスで実行する必要があります。これにより、コンテンツ スクリプトはサイドチャネル攻撃(Spectre)や、悪意のあるウェブページがレンダラ プロセスを侵害した場合の攻撃者の乗っ取りにつながる可能性があります。

機密データ(ユーザーの個人情報など)を使用するオペレーションや、ブラウザの機能にアクセスする Chrome API を使用するオペレーションは、拡張機能のサービス ワーカーで実行する必要があります。拡張機能の権限がコンテンツ スクリプトに誤って公開されないようにします。

  • コンテンツ スクリプトからのメッセージが攻撃者によって作成されている可能性があることを前提とします(すべての入力を検証してサニタイズし、クロスサイト スクリプティングからスクリプトを保護します)。
  • コンテンツ スクリプトに送信されたデータがウェブページに漏洩する可能性があると想定します。機密データ(拡張機能のシークレット、他のウェブオリジンのデータ、ブラウジング履歴など)をコンテンツ スクリプトに送信しないでください。
  • コンテンツ スクリプトによってトリガーされる特権アクションのスコープを制限します。コンテンツ スクリプトで任意の URL へのリクエストをトリガーしたり、拡張機能の API に任意の引数を渡したりしないでください(例: fetch() メソッドまたは chrome.tabs.create() メソッドに任意の URL を渡さない)。

入力を登録してサニタイズする

リスナーを拡張機能が想定しているものに限定し、受信データの送信者を検証し、すべての入力をサニタイズすることで、拡張機能を悪意のあるスクリプトから保護します。

拡張機能が外部ウェブサイトまたは拡張機能からの通信を待機している場合にのみ、runtime.onMessageExternal を登録する必要があります。送信者が信頼できる送信元と一致していることを常に確認します。

// The ID of an external extension
const kFriendlyExtensionId = "iamafriendlyextensionhereisdatas";

chrome.runtime.onMessageExternal.addListener(
  function(request, sender, sendResponse) {
    if (sender.id === kFriendlyExtensionId)
      doSomething();
});

拡張機能自体からの runtime.onMessage イベントを介したメッセージであっても、MessageSender が侵害されたコンテンツ スクリプトからのものではないことを確認するために精査する必要があります。

chrome.runtime.onMessage.addListener(function(request, sender, sendResponse) {
  if (request.allowedAction)
    console.log("This is an allowed action.");
});