RequestPolicy

RequestPolicy は現在見ているページ以外でホワイトリストにない、いわゆる"サードパーティ"のリクエスト・リダイレクト・転送は許可しない。

このアドオンはドメインを跨いだアクセス(cross-site requests)のセキュリティ確保に的を絞っている。

NoScript の欠点(リダイレクト・転送)を補うアドオンだが、機能が異なるので代替にはならない。現在見ているページと同じ場所のリソース(スクリプト、プラグイン用のオブジェクト、iframe、画像等)は疑わないからだ。(「同じ場所」かどうかは[一般設定]⇒[厳密性]の設定に依存)

NoScript と異なり、RequestPolicy のホワイトリストには以下の種別がある

リクエスト元(オリジン=現在見ているページ=○○からのリクエストを許可する)
リクエスト先(送信先=現在見ているページが要求する外部ドメインのリソース=△△へのリクエストを許可する)
その組み合わせ(オリジンと送信先のペア=○○から△△へのリクエストを許可する)

使い始めはかなりブロックされ面倒だが、そのうち慣れる(ホワイトリストが増えて気にならなくなる)

ホワイトリストにリクエスト元を追加するのはやめた方がいい。今回 microad.jp の「Security Tool」の件みたいに現在見ているページ(リクエスト元)が汚染されたらアウトだから

リクエスト元とリクエスト先の組み合わせをホワイトリストに追加するのが最も安全だが最も面倒

私はリクエスト先をホワイトリストに追加するようにしている。これは完璧ではなく、乗っ取られたらオシマイだがホワイトリスト追加が楽(例えば YouTubeSlideShare のようにブログ埋め込みで参照されている場合、1回のホワイトリスト追加で済む)

つまり、RequestPolicy は自分が望むセキュリティレベルに応じてホワイトリストの使い方を選択できる。整理すると...

セキュリティの強さ ホワイトリスト追加の手間 上記の説明で使った呼称 RequestPolicy内での名称1 RequestPolicy内での名称2
× リクエスト元 オリジン ...からのリクエストを許可する
リクエスト先 送信先 ...へのリクエストを許可する
× その組合せ オリジンと送信先のペア ...から...へのリクエストを許可する


(RequestPolicy の設定もわかりにくいよね〜翻訳のせいなのかな)


引用元: Adblock Plus だけでは「Security Tool」は防げない - digital 千里眼,
http://d.hatena.ne.jp/k2jp/20101008/1286525198