Web 生成元の概念

2.1. 適合性の判定基準

この文書~内の~keyword "MUST" … 【以下、この段落の内容は~IETF日本語訳 共通~pageに移譲。】 ◎ The key words "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "MAY", and "OPTIONAL" in this document are to be interpreted as described in [RFC2119].

【 以下、この節の他の内容は ~IETF日本語訳 共通~pageに移譲。 】

2.2. 構文の表記法

この仕様は `RFC5234$r による ABNF （ `Augmented Backus Naur Form^en ）記法を利用する。 ◎ This specification uses the Augmented Backus-Naur Form (ABNF) notation of [RFC5234].

中核~規則［ `SP^P（ `space^en ）, `HTAB^P, `CRLF^P ］は、 RFC 5234, Appendix B.1 による定義を参照する。 ◎ The following core rules are included by reference, as defined in [RFC5234], Appendix B.1: ALPHA (letters), CR (carriage return), CRLF (CR LF), CTL (controls), DIGIT (decimal 0-9), DQUOTE (double quote), HEXDIG (hexadecimal 0-9/A-F/a-f), LF (line feed), OCTET (any 8-bit sequence of data), SP (space), HTAB (horizontal tab), CHAR (any US- ASCII character), VCHAR (any visible US-ASCII character), and WSP (whitespace).

`OWS^P 規則は、0 個以上の空白~octetが~~連続して現れ得る所に利用される。 【以下、この段落の内容は，次の一文に集約する：】 `OWS^P は、 ~HTTPの規約に則って取扱うとする。 ◎ The OWS rule is used where zero or more linear whitespace octets might appear. OWS SHOULD either not be produced or be produced as a single SP. Multiple OWS octets that occur within field-content SHOULD either be replaced with a single SP or transformed to all SP octets (each octet other than SP replaced with SP) before interpreting the field value or forwarding the message downstream. ◎

OWS
	= *( SP / HTAB / obs-fold )
	; "optional" whitespace
obs-fold
	= CRLF ( SP / HTAB )
	; obsolete line folding

2.3. 各種用語

語 “~UA”, “~server” は、 ~HTTP仕様によるそれと同じ意味を表すとする。 【！ 未利用：~client／~proxy／生成元~server】 ◎ The terms "user agent", "client", "server", "proxy", and "origin server" have the same meaning as in the HTTP/1.1 specification ([RFC2616], Section 1.3).

`~GUID@ （ `globally unique identifier^en, “大域的に一意な識別子” ）は、他のどの既存の値とも異なる値である。 十分長い~randomな文字列は，ほぼ確実に~GUIDになる。 `If the origin value never leaves the user agent,^en 【~UAが生成元の値を決して忘れないのであれば？】、 ~UAに局所的な単調増加する~counterでも，~GUIDとして~~働ける。 ◎ A globally unique identifier is a value that is different from all other previously existing values. For example, a sufficiently long random string is likely to be a globally unique identifier. If the origin value never leaves the user agent, a monotonically increasing counter local to the user agent can also serve as a globally unique identifier.

3.1. 信頼関係

同一-生成元~施策は~URIにより，信頼関係を指定する。 例えば~HTML文書は、どの~scriptを走らすかを~URIで指名する： ◎ The same-origin policy specifies trust by URI. For example, HTML documents designate which script to run with a URI:

<script src="https://example.com/library.js"></script>

【 指名- — designate ： “~~指定” の対訳が普通だが、 “選定して~~役割をあてがう” 含みも込めて。 この和訳では（この段落に限らず — やや見慣れない表現になる箇所もあるが）、 “`specify^en” を~~意味する~~指定との区別を優先させる。 】

~UAがこの~protocol要素を処理する際には、~UAは指名された~URIの~scriptを検索取得し，文書が有する特権の下で~scriptを実行することになる。 このようにして，文書は、自身が有するすべての特権を~URIにより指名された資源に是認する。 本質的には、文書は，その~URIから検索取得された情報の完全性を信用することを宣言している。 ◎ When a user agent processes this element, the user agent will fetch the script at the designated URI and execute the script with the privileges of the document. In this way, the document grants all the privileges it has to the resource designated by the URI. In essence, the document declares that it trusts the integrity of information retrieved from that URI.

~URIからの【~scriptなどの】~libraryを取込むことに加えて、~UAはまた，~URIにより指名された~remote主体へ向けて情報を送信する。 例えば~HTMLの `form^e 要素を考える： ◎ In addition to importing libraries from URIs, user agents also send information to remote parties designated by URI. For example, consider the HTML form element:

<form method="POST" action="https://example.com/login">
 ... <input type="password"> ...
</form>

利用者が自身の~passwordを手入力して~formを提出するとき、~UAは，その~URIにより指名された~network端点へ向けて~passwordを送信する。 このようにして、文書は，自身の秘匿~dataをその~URIに開示する。 すなわち、その~URIへ向けて送信される情報の機密性を信用することを宣言する。 ◎ When the user enters his or her password and submits the form, the user agent sends the password to the network endpoint designated by the URI. In this way, the document exports its secret data to that URI, in essence declaring that it trusts the confidentiality of information sent to that URI.

3.2. 生成元（ `origin^en ）

原理的には、~UAがどの~URIも別々な保護~domainとして扱って，ある~URIから検索取得された内容と 別の~URIとのヤリトリに，明示的な同意を要するようにすることもできる。 あいにく、~web~appは，~~協同して動作するいくつもの資源からなることが多いので、この設計は開発者には厄介なものになる。 ◎ In principle, user agents could treat every URI as a separate protection domain and require explicit consent for content retrieved from one URI to interact with another URI. Unfortunately, this design is cumbersome for developers because web applications often consist of a number of resources acting in concert.

代案として，~UAは、~URIたちを， “生成元” と呼ばれる保護~domainにひとまとめにする。 大雑把に言えば、 2 つの~URIは，それらが同じ［~scheme, ~host, ~port］を持つならば，同じ生成元に属する（すなわち，同じ首体を表現する）。 （全部的な詳細は § 4 を見よ。） ◎ Instead, user agents group URIs together into protection domains called "origins". Roughly speaking, two URIs are part of the same origin (i.e., represent the same principal) if they have the same scheme, host, and port. (See Section 4 for full details.)

Q： 単に~host名だけで十分ではありませんか？ ◎ Q: Why not just use the host?

A： 生成元に~schemeも含めることは、~securityにとって本質的です。 ~UAが~schemeを含めなかったなら、 `http://example.com^s と `https://example.com^s は同じ~hostを持つことになり，隔離されなくなります。 しかしながら，この隔離がなければ、能動的な~network攻撃者は， 【 ~TLSなどにより保護されない，】 `http://example.com^s から検索取得される内容に細工を施すことにより，その内容から `https://example.com^s から検索取得される内容の機密性と完全性を弱体化させる~~指示を~UAに出せてしまいます。 その結果、~TLS `RFC5246$r に備わる保護は迂回されてしまいます。 ◎ A: Including the scheme in the origin tuple is essential for security. If user agents did not include the scheme, there would be no isolation between http://example.com and https://example.com because the two have the same host. However, without this isolation, an active network attacker could corrupt content retrieved from http://example.com and have that content instruct the user agent to compromise the confidentiality and integrity of content retrieved from https://example.com, bypassing the protections afforded by TLS [RFC5246].

Q： なぜ、単に “~top-levelの” ~domainではなく，完全修飾~host名を利用するのですか？ ◎ Q: Why use the fully qualified host name instead of just the "top-level" domain?

A： ~DNSは階層的な委任を備えていますが、~host名の間の信頼関係は、配備状況により様々です。 例えば，多くの教育機関では、学生たちは `https://example.edu/~student/^s の下に内容を~hostできますが、一学生が作成した文書と `https://grades.example.edu/^s の下に~hostされている成績管理用の~web~appとが，同じ生成元に属する（すなわち，同じ保護~domain下にある）ことになるべきではないでしょう。 ◎ A: Although the DNS has hierarchical delegation, the trust relationships between host names vary by deployment. For example, at many educational institutions, students can host content at https://example.edu/~student/, but that does not mean a document authored by a student should be part of the same origin (i.e., inhabit the same protection domain) as a web application for managing grades hosted at https://grades.example.edu/.

`example.edu^s の配備~例は、生成元による資源の仕分けが，どの配備状況にも常に完璧に沿えるわけでないことを示してもいます。 この配備の場合，どの学生の~web~siteも同じ生成元に属しており、望ましくないかもしれません。 あるイミ、生成元の粒度は，~security~modelが発展する~~過程で生じた歴史的な歪みです。 ◎ The example.edu deployment illustrates that grouping resources by origin does not always align perfectly with every deployment scenario. In this deployment, every student's web site inhabits the same origin, which might not be desirable. In some sense, the origin granularity is a historical artifact of how the security model evolved.

http://example.com/
http://example.com:80/
http://example.com/path/file

http://example.com/
http://example.com:8080/
http://www.example.com/
https://example.com:80/
https://example.com/
http://example.org/
http://ietf.org/

3.3. 権限

~UAは~URIを生成元により仕分けるが、同じ生成元に属するどの資源も同じ権限（ “authority” — `RFC3986$r によるイミの “`authority^en”† ではなく，~securityのイミで）を有するとは限らない。 例えば，画像は受動的な内容なので、何ら権限を有さない††。 すなわち，画像は、その生成元にて可用な~objや資源へ~accessすることはない。 対して、~HTML文書は，その生成元に対する全-権限を有し、その文書~内の（またはその中に取込まれた）~scriptは，その生成元に属するどの資源にも~accessし得る。 ◎ Although user agents group URIs into origins, not every resource in an origin carries the same authority (in the security sense of the word "authority", not in the [RFC3986] sense). For example, an image is passive content and, therefore, carries no authority, meaning the image has no access to the objects and resources available to its origin. By contrast, an HTML document carries the full authority of its origin, and scripts within (or imported into) the document can access every resource in its origin.

【† ~URI構文の一部を成す `authority^P 】【†† 同じ画像でも， SVG のような~HTMLと同程度に高機能になり得る画像は、通常の画像と同程度に低~riskなものと見なすためには，その能動的な部分の機能を制約する必要があることになる。 】

~UAは，資源の~MIME型（ `Internet media type^en ）を精査することにより、資源に是認する権限の度合いを決定する。 例えば、~MIME型 `image/png^s の資源は画像として扱われ，~MIME型 `text/html^s の資源は~HTML文書として扱われる。 ◎ User agents determine how much authority to grant a resource by examining its media type. For example, resources with a media type of image/png are treated as images, and resources with a media type of text/html are treated as HTML documents.

~web~appは、信用できない内容（利用者により生成された内容など）を~hostする際に、その~MIME型を制約することにより，内容の権限を制限できる。 例えば、利用者により生成された内容を `image/png^s として~serveする~riskは， `text/html^s として~serveするより小さい。 無論、多くの~web~appは，信用できない内容を自身の~HTML文書に組入れるが、注意深く行わなければ，~appは 自身の生成元の権限を信用できない内容に漏洩する~riskにさらすことになる。 これは、~XSS（ `cross-site scripting^en ）として共通的に知られている脆弱性である。 ◎ When hosting untrusted content (such as user-generated content), web applications can limit that content's authority by restricting its media type. For example, serving user-generated content as image/png is less risky than serving user-generated content as text/html. Of course, many web applications incorporate untrusted content in their HTML documents. If not done carefully, these applications risk leaking their origin's authority to the untrusted content, a vulnerability commonly known as cross-site scripting.

3.4. 施策

一般に、~UAは異なる生成元を隔離しつつ，生成元どうしの通信は制御された形で許可する。 ~UAが隔離と通信をどのような形で供するかについての詳細は、いくつかの要因に依存して様々になる。 ◎ Generally speaking, user agents isolate different origins and permit controlled communication between origins. The details of how user agents provide isolation and communication vary depending on several factors.

3.5. ~~要約

同一-生成元~施策は、~URIを利用して信頼関係を指名する。 各~URIは生成元ごとにまとめられ，保護~domainを表現する。 生成元に属する一部の資源（例えば，能動的な内容）には，その生成元の全-権限が是認される一方で、生成元に属する他の資源（例えば，受動的な内容）には，生成元の権限は是認されない。 その生成元の権限を有する内容は、自身の生成元に属する［ ~obj／~network資源 ］への~accessが是認される。 この内容には，他の生成元に属する［ ~obj／~network資源 ］への制限された~accessも是認されるが、そのような非同一-生成元 特権は，~security脆弱性を避けるように注意深く設計されなければならない。 ◎ The same-origin policy uses URIs to designate trust relationships. URIs are grouped together into origins, which represent protection domains. Some resources in an origin (e.g., active content) are granted the origin's full authority, whereas other resources in the origin (e.g., passive content) are not granted the origin's authority. Content that carries its origin's authority is granted access to objects and network resources within its own origin. This content is also granted limited access to objects and network resources of other origins, but these cross-origin privileges must be designed carefully to avoid security vulnerabilities.

6.1. 生成元の~Unicode直列化

所与の生成元 %生成元 の~Unicode直列化とは、次の~algoが返す値である： ◎ The unicode-serialization of an origin is the value returned by the following algorithm:

1. ~IF［ %生成元 は ~scheme/~host/~port の~tripleである ］：

   1. %生成元 ~LET 生成元の複製；
   2. %生成元 の~host部位 ~SET %生成元 の~host部位を［ それを成す各~成分のうち， A-label を与えるもの ］を対応する U-label に~~置換した結果
   ◎ ↓
2. ~RET %生成元 の~ASCII直列化（次節） 【この訳では、~ASCII直列化を利用して，原文の記述を簡略化する】 ◎ 1. If the origin is not a scheme/host/port triple, then return the string null (i.e., the code point sequence U+006E, U+0075, U+006C, U+006C) and abort these steps. ◎ 2. Otherwise, let result be the scheme part of the origin triple. ◎ 3. Append the string "://" to result. ◎ 4. Append each component of the host part of the origin triple (converted as follows) to the result, separated by U+002E FULL STOP code points ("."): • 1. If the component is an A-label, use the corresponding U-label instead (see [RFC5890] and [RFC5891]). • 2. Otherwise, use the component verbatim. ◎ 5. If the port part of the origin triple is different from the default port for the protocol given by the scheme part of the origin triple: • 1. Append a U+003A COLON code point (":") and the given port, in base ten, to result. ◎ 6. Return result.

6.2. 生成元の~ASCII直列化

所与の生成元 %生成元 の~ASCII直列化とは、次の~algoが返す値である： ◎ The ascii-serialization of an origin is the value returned by the following algorithm:

1. ~IF［ %生成元 は ~scheme/~host/~port の~tripleでない ］ ⇒ ~RET 文字列 `null^c （すなわち，符号位置~並び `006E^U, `0075^U, `006C^U, `006C^U ） ◎ 1. If the origin is not a scheme/host/port triple, then return the string null (i.e., the code point sequence U+006E, U+0075, U+006C, U+006C) and abort these steps.
2. ( %~scheme, %~host, %~port ) ~LET %生成元 の ( ~scheme, ~host, ~port ) 部位 ◎ ↓
3. %結果 ~LET %~scheme ◎ 2. Otherwise, let result be the scheme part of the origin triple.
4. %結果 に［ 文字列 "`://^c" ］を付加する ◎ 3. Append the string "://" to result.
5. %結果 に %~host を付加する ◎ 4. Append the host part of the origin triple to result.
6. ~IF［ %~port は %~scheme で与えられる~protocol用の既定~portでない ］ ⇒ %結果 に次を順に付加する ⇒＃ 符号位置 `003A^U COLON（ "`:^c" ）, %~port の十進表記 ◎ 5. If the port part of the origin triple is different from the default port for the protocol given by the scheme part of the origin triple: • 1. Append a U+003A COLON code point (":") and the given port, in base ten, to result.
7. ~RET %結果 ◎ 2. Return result.

7.1. 構文

`Origin^h ~headerの構文は、次で与えられる： ◎ The Origin header field has the following syntax:

origin
	= "Origin:" OWS origin-list-or-null OWS
origin-list-or-null
	= `%x6E %x75 %x6C %x6C^_ / origin-list
origin-list
	= serialized-origin *( SP serialized-origin )
serialized-origin
	= scheme "://" host [ ":" port ]

`scheme^P, `host^P, `port^P は `RFC3986$r に定義される。 ◎ ; <scheme>, <host>, <port> from RFC 3986

【 この構文では，~header値は複数個の生成元を含み得るが、現在の~web~platformでは，1 個に限るように制約されている。 したがって、以下の § 7.2, § 7.3 の記述も，実質的には もっと単純になるであろう。 】

7.2. 意味論

~HTTP要請に含められる `Origin^h ~headerは、~UAに要請を発行- “させる” よう（~UAが~~供する~APIの定義に従って）誘発した生成元（たち）を指示する。 ◎ When included in an HTTP request, the Origin header field indicates the origin(s) that "caused" the user agent to issue the request, as defined by the API that triggered the user agent to issue the request.

例えば、ある生成元（たち）に利する~scriptを実行する~UAを考える。 そのような~scriptが，~UAに~HTTP要請を発行させたときは、~UAは `Origin^h ~headerを利用して，~scriptを実行している~security文脈を~serverに伝えてもヨイ。 ◎ For example, consider a user agent that executes scripts on behalf of origins. If one of those scripts causes the user agent to issue an HTTP request, the user agent MAY use the Origin header field to inform the server of the security context in which the script was executing when it caused the user agent to issue the request.

事例によっては、複数の生成元が寄与して，~UAに~HTTP要請を発行させることもある。 そのような事例では、~UAは `Origin^h ~header内にそれらの生成元すべてを~listしてもヨイ†。 例えば、初期~時は ある生成元により~HTTP要請が発行されていて，後で別の生成元により~redirectされた場合、~UAは，自身に要請を発行させた生成元が 2 つ孕まれていることを~serverに伝えてもヨイ。 【† 次節最後の要件も考慮するなら，寄与した順序も有意とされるかもしれない。】 ◎ In some cases, a number of origins contribute to causing the user agents to issue an HTTP request. In those cases, the user agent MAY list all the origins in the Origin header field. For example, if the HTTP request was initially issued by one origin but then later redirected by another origin, the user agent MAY inform the server that two origins were involved in causing the user agent to issue the request.

7.3. ~UAに課される要件

~UAはどの~HTTP要請にも， `Origin^h ~headerを含めてもヨイ。 ◎ The user agent MAY include an Origin header field in any HTTP request.

~UAはどの~HTTP要請にも，複数個の `Origin^h ~headerを含めてはナラナイ。 ◎ The user agent MUST NOT include more than one Origin header field in any HTTP request.

~UAが “~privacyに敏感な” 文脈の下から~HTTP要請を発行するときは，常に、 `Origin^h ~headerに値 “`null^c” を送信しなければナラナイ。 ◎ Whenever a user agent issues an HTTP request from a "privacy- sensitive" context, the user agent MUST send the value "null" in the Origin header field.

注記： この文書は、どのような観念（ `notion^en ）をもって “~privacyに敏感な文脈” とされるかは，定義しない。 ~HTTP要請を生成する~appは、文脈を~privacyに敏感であるものと指名して，~UAが `Origin^h ~headerを生成する方法に制約を課すことができる。 ◎ NOTE: This document does not define the notion of a privacy- sensitive context. Applications that generate HTTP requests can designate contexts as privacy-sensitive to impose restrictions on how user agents generate Origin header fields.

`Origin^h ~headerを生成するときには、~UAは次の要件に従わなければナラナイ。 ◎ When generating an Origin header field, the user agent MUST meet the following requirements:

• その文法~内の `serialized-origin^P 生成規則は、生成元の~ASCII直列化を成していなければナラナイ。 ◎ Each of the serialized-origin productions in the grammar MUST be the ascii-serialization of an origin.
• 連続するどの 2 つの生成結果も，一致することはない。 特に、~UAが【同じ？】生成結果を連続して生成することになる場合、 2 個目を生成してはナラナイ。 ◎ No two consecutive serialized-origin productions in the grammar can be identical. In particular, if the user agent would generate two consecutive serialized-origins, the user agent MUST NOT generate the second one.

8.1. ~DNSへの依拠

実施においては、 `http^sc などの共通的に利用される~URI~schemeの多くは， ~DNS（ `Domain Name System^en ）に基づく命名機関を利用しているので、同一-生成元~施策の~securityは~DNSに依拠することになる。 ~DNSが部分的にでも弱体化された場合、同一-生成元~施策は，~appが要求する~securityの特質を満たせなくなるであろう。 ◎ In practice, the same-origin policy relies upon the Domain Name System (DNS) for security because many commonly used URI schemes, such as http, use DNS-based naming authorities. If the DNS is partially or fully compromised, the same-origin policy might fail to provide the security properties required by applications.

`https^sc など一部の~URI~schemeは、~UAがこれらの~URIから検索取得された内容の~sourceを検証yするために，証明書のような他の仕組みを使役しているので、~DNS汚染に対し，より抵抗力がある。 `chrome-extension^sc ~URI~scheme（ `CRX$r § 4.3 を見よ）などの他の~URI~schemeは、公開鍵に基づく命名機関を利用するものであり，~DNS汚染に対し全部的に~secureである。 ◎ Some URI schemes, such as https, are more resistant to DNS compromise because user agents employ other mechanisms, such as certificates, to verify the source of content retrieved from these URIs. Other URI schemes, such as the chrome-extension URI scheme (see Section 4.3 of [CRX]), use a public-key-based naming authority and are fully secure against DNS compromise.

~web生成元の概念は、異なる~URI~schemeから検索取得された内容を隔離する。 これは、~DNS汚染による効果を一定範囲に封じ込めることに本質的である。 ◎ The web origin concept isolates content retrieved from different URI schemes; this is essential to containing the effects of DNS compromise.

8.2. 隔離単位の分岐

これまで，いくつもの技術が、簡便な隔離単位として，~web生成元の概念に収束してきた。 しかしながら，~cookie `RFC6265$r などの今日用いられる多くの技術が、現代の~web生成元の概念に先行して利用-中にある。 これらの技術における隔離単位は、生成元と異なることが多いため，脆弱性を導いている。 ◎ Over time, a number of technologies have converged on the web origin concept as a convenient unit of isolation. However, many technologies in use today, such as cookies [RFC6265], pre-date the modern web origin concept. These technologies often have different isolation units, leading to vulnerabilities.

代替案として、隔離単位に FQDN（ `fully qualified domain name^en, 完全修飾~domain名 ）ではなく， “登録制（ `registry-controlled^en ）” による~domainのみを利用することも~~考えられるが（例えば "`www.example.com^s" の代わりに "`example.com^s" ）、この実施にはいくつもの理由から問題になり得るため，推奨されない： ◎ One alternative is to use only the "registry-controlled" domain rather than the fully qualified domain name as the unit of isolation (e.g., "example.com" instead of "www.example.com"). This practice is problematic for a number of reasons and is NOT RECOMMENDED:

1. “登録制” ~domainは，観念としては、~DNS自身の特質ではなく，~DNSを取り巻く ヒトによる実施として~~機能する ］になる。 例えば、日本における多数の地方自治体の公共~registryは，極めて深い~DNS階層で~~運用されている。 広く利用されている “`public suffix lists^en” があるが、これらの~listを各 実装が揃って最新状態に保つことは困難である。 ◎ 1. The notion of a "registry-controlled" domain is a function of human practice surrounding the DNS rather than a property of the DNS itself. For example, many municipalities in Japan run public registries quite deep in the DNS hierarchy. There are widely used "public suffix lists", but these lists are difficult to keep up to date and vary between implementations.
2. この実施は、~DNSに基づく命名機関を利用しない~URI~schemeと互換でない。 例えば，命名機関として公開鍵を利用する~URI~schemeの場合、 “登録制” 公開鍵の観念は，どこかに不整合を~~孕む。 加えて、 `nntp^sc などの一部の~URI~schemeは，委任関係に~DNSとは逆順の~dot区切りを利用しており（例えば `alt.usenet.kooks^s ）、また，~DNSを利用しつつ, 通例とは逆順に~labelを提示するものもある（例えば `com.example.www^s ）。 ◎ 2. This practice is incompatible with URI schemes that do not use a DNS-based naming authority. For example, if a given URI scheme uses public keys as naming authorities, the notion of a "registry-controlled" public key is somewhat incoherent. Worse, some URI schemes, such as nntp, use dotted delegation in the opposite direction from DNS (e.g., alt.usenet.kooks), and others use the DNS but present the labels in the reverse of the usual order (e.g., com.example.www).

“登録制” ~domainを利用することは、良くても~URI~schemeと実装に特有である。 最悪の場合、~URI~schemeと実装との相違点から脆弱性が導かれ得る。 ◎ At best, using "registry-controlled" domains is URI-scheme- and implementation-specific. At worst, differences between URI schemes and implementations can lead to vulnerabilities.

8.3. ~ambient権限

同一-生成元~施策が利用される下では、~UAは内容に対し、その内容がどの~objを指名し得るか ではなく，内容の~URIに基づいて権限を是認する。 この，指名を権限から~~分離することは、~ambient権限の一例であり，脆弱性が導かれ得る。 ◎ When using the same-origin policy, user agents grant authority to content based on its URI rather than based on which objects the content can designate. This disentangling of designation from authority is an example of ambient authority and can lead to vulnerabilities.

【 ~ambient権限 ：環境から暗黙的に与えられる権限 — 参考 】

例えば~HTML文書における~XSSを考える。 もし攻撃者が~HTML文書~内に~script内容を注入できたなら、これらの~scriptは，文書の生成元の権限を有する下で走ることになり、利用者の医療記録など，敏感な情報への~script~accessが許容されてしまうことになる。 しかしながら、~scriptの権限が，~scriptが指名し得る~objに制限されるのであれば、攻撃者が，第三者-主体に~hostされている~HTML文書に~scriptを注入することで優位を得ることもなくなるであろう。 ◎ Consider, for example, cross-site scripting in HTML documents. If an attacker can inject script content into an HTML document, those scripts will run with the authority of the document's origin, perhaps allowing the script access to sensitive information, such as the user's medical records. If, however, the script's authority were limited to those objects that the script could designate, the attacker would not gain any advantage by injecting the script into an HTML document hosted by a third party.

8.4. ~IDNAへの依存とその移行

同一-生成元~施策の~securityの特質は、~UAに使役されている~IDNA~algoの詳細~に不可欠に依存し得る。 特に，一部の国際-化~domain名（例えば `00DF^U 文字を含むもの ）については、~UAが［ IDNA2003 `RFC3490$r, IDNA2008 `RFC5890$r ］のどちらを利用しているかに依存して，異なる~ASCII表現に対応付けられ得る。 ◎ The security properties of the same-origin policy can depend crucially on details of the IDNA algorithm employed by the user agent. In particular, a user agent might map some international domain names (for example, those involving the U+00DF character) to different ASCII representations depending on whether the user agent uses IDNA2003 [RFC3490] or IDNA2008 [RFC5890].

~IDNA~algoを別のものへ移行させることは、いくつかの~security境界を描直すことになり得る： 新たな~security境界を敷いたり，より望ましくない方では，互いに信用できない複数の実体~間の~security境界を取り払ってしまうなど。 特に後者の場合，一方が他方を攻撃することが許容されるので、~security境界を変更することには~riskを伴う。 ◎ Migrating from one IDNA algorithm to another might redraw a number of security boundaries, potentially erecting new security boundaries or, worse, tearing down security boundaries between two mutually distrusting entities. Changing security boundaries is risky because combining two mutually distrusting entities into the same origin might allow one to attack the other.